Linux笔记（十四） - 日志管理

（1）rsyslogd的服务：
查看服务是否启动：ps aux | grep rsyslogd 
查看服务是否自启动：chkconfig --list | grep rsyslog 
配置文件 ： /etc/rsyslog.conf 
 服务名称 [连接符号] 日志等级  日志记录位置
 authpriv.*                        /var/log/secure
 #认证相关服务.所有日志等级        记录在/var/log/secure中
服务名称
auth ：安全和认证相关信息
authpriv ：安全和认证相关信息，私有的
cron ：系统定时任务cront和at产生的日志
daemon ：和各个守护进程相关的日志
ftp ：ftp守护进程产生的日志
kern ：内核产生的日志，不是用户进程产生的
local0-local7 ： 为本地使用预留的服务
lpr ： 打印产生的日志
mail ：邮件收发信息
news ：与新闻服务器相关的日志
syslog ：syslogd产生的日志
user ： 用户等级类别的日志信息
uucp ：uucp子系统的日志信息
（2）常见日志的作用
/var/log/cron ：记录系统定时任务的相关日志
/var/log/cups/ ：记录打印信息的日志
/var/log/dmesg ：记录了系统在开机时内核的自检信息
/var/log/btmp ：记录错误登录的日志。需用lastb命令查看
/var/log/lastlog ：所有用户最后一次登录时间。需用lastb命令查看
/var/log/maillog ：记录邮件信息
/var/log/messages ：记录系统重要信息，首要查看此日志。
/var/log/secure ：记录授权验证方面的信息，只要涉及用户，密码的程序都会记录
/var/log/wtmp ：永久记录所有用户的登录注销信息，同时记录系统的启动，关机时间。用last查看
/var/run/utmp ：记录当前已经登录的用户信息。只记录当前用户的信息，随着用户的登录注销变化。用w，who，users来查询
rpm包安装的日志在/var/log/中
（3）日志格式
 事件产生的时间；
 发生事件的服务器主机名；
 产生事件的服务名或程序名；
 事件的具体信息。
（4）日志轮替
1.日志文件的命名规则
 如果配置文件中拥有“dateext”参数，日志就会加上日期，如：log-20160101
 如果没有，新的日志名为log，老的自动变为log.1
2.logrotate配置文件
 daily ：日志轮替周期是每天
 weekly ：日志轮替周期是每周
 monthly ：日志轮替周期是每月
 rotate n ：保留日志文件的个数。0指没有备份
 compress ：日志轮替时，就日志进行压缩
 create mode owner group ：建立新日志，并制定新日志的权限与所有者和所属组，如：create 0600 root utmp 
 mail address ：当日志轮替时，输出内容发到邮箱
 missingok ：日志不存在则忽略该日志的警告信息
 notifempty ：日志为空则不轮替
 minsize 大小：日志轮替最小值，日志达到最小值才轮替，否则到期也不轮替
 size 大小 ：日志只有大于指定大小才轮替，而不按照时间
 dateext ：使用日期作为后缀
3.logrotate [选项] 配置文件
-v ：显示日志轮替过程
-f ：强行进行日志轮替