《鸟哥的Linux私房菜》读书笔记：登录文件（log）及其分析

本文主要是介绍《鸟哥的Linux私房菜》读书笔记：登录文件（log）及其分析，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

登录文件的介绍

登录文件记录了系统的活动信息，通过对这些信息进行分析，我们能够解决系统方面的错误、网络方面的问题。登录文件一般都在/var/log/目录下，一般情况下messages文件记录的信息最多。

• 登录文件的产生：
  
  • 软件开发商自定义产生的登录文件及其格式
  • Linux系统提供的登录文件管理服务统一管理
• 登录文件所需要的服务与程序：
  
  • 像syslogd(记录系统与网络等服务信息) 、klogd(记录核心产生的信息)
  • 当登录文件容量变得很大，访问速度下降，我们需要logrotate来自动化处理登录文件的容量与更新

记录登录文件的服务:syslogd

syslogd负责Linux的登录文件,产生各个服务的登录信息。

• 登录文件的格式：
  
  • 事件发生的时间
  • 发生此事件的主机名
  • 启动此事件的服务名称和函数名称
  • 信息的实际数据内容
• syslog的配置文件：/etc/syslog.conf
  
  • 规定了：服务名称；信息等级；信息记录位置
  • 信息有七个主要等级：info,notice,warn(warning),err(error),crit(临界点),alert,emerg(panic).另外还有两个特殊等级，debug与none,用于错误的侦测。
  • 链接符号[.=!]:”.”表示大于等于后面接的信息等级，”.=”表示只要后面接的等级信息，”.!”表示需要除后接信息等级的所有其他信息。
  • 例子：
    mail.info /var/log/maillog #表示将mail信息等级info及以上的信息写入后面的文档中。
    *.*;news,cron,mail.none /var/log/messages#除了cron,mail,news的信息，其他所有信息都记录在后面文档中
  • 注1：在存放目录前加”-“是为了让信息先存放在内存中，等到数据量大到一定程度再一次写入档案，这样有利于提高登录文件存取性能，但非正常断电（不正常关机）可能会因数据未来得及写入而导致信息丢失。通常用于mail服务的信息存放。
  • 注2:撸主的Linux为SUSE发行版，用的是syslog的替代工具syslog-ng，其比syslog更为灵活，可以制定更为细致的信息过滤条件。syslog-ng的主配置文件存放在：/etc/syslog-ng/syslog-ng.conf，其配置文件的语法格式与syslog.conf差异很大，格式为：LOG STATEMENTS『SOURCES － FILTERS －DESTINATIONS』，先单独编写这三个区块SOURCES、FILTERS、DESTINATIONS，然后上面的流程运行，也就是通过定义多个消息源，把匹配上若干个过滤器的消息导向到指定的目的地，从而组成一个消息路径。具体请参考syslog-ng。

• 登录文件的安全设置：利用chattr命令，加+a选项，设定登录文件只能增加内容而不能删除和写入。vi查看登录文件，:wq命令离开，会造成该档案无法继续记录登录动作，这时候需要重启syslog服务。

• 登录文件服务器设定：修改syslogd启动配置文件，通常在/etc/sysconfig/中，vi /etc/sysconfig/syslog

  • 服务端：SYSLOGD_OPTIONS="-m 0" 改为SYSLOGD_OPTIONS="-m 0 -r",重启syslog服务
  • 客户端：vim /etc/syslog.conf 添加*.* @主机IP地址，重启syslog

logrotate

此程序每天周期执行，具体规则由/etc/cron.daily/logrotate记录。

• logrotate配置文件：
  
  • /etc/logrotate.conf:主要参数文件，提供细部设定，为预设轮替状态，设置默认值。主要有rotate周期、登录文件保留个数、是否压缩登录文件等参数。
  • /etc/logrotate.d/:该目录中的文件会被读入/etc/logrorate.conf中进行。其中的文件可以外加执行脚本，需要与sharedscripts与endscript合用：

sharedscripts
prerotate:在启动logrotate之前进行的命令，比如修改登录文件的属性；
postrotate:在做完logrotate之后执行的命令，比如重新启动某个服务kill -1；
两者对于加上特殊属性的档案处理相当重要。
endscript

登录文件分析

logwatch是CentOS预设的登录文件分析软件，没有安装的Linux版本可以自行安装，或者根据自己的实际需求撰写脚本来执行登录文件的分析

这篇关于《鸟哥的Linux私房菜》读书笔记：登录文件（log）及其分析的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---