linux日志管理

authpriv.*                          /var/log/secure
#服务名称[连接符号]日志等级				日志记录位置
#认证相关服务.所有日志等级				记录在/var/log/secure日志中

日志服务[连接符号]日志等级			日志记录位置

[root@localhost ~]# vi /etc/rsyslog.conf
#查看配置文件的内容
# rsyslog v5 configuration file

# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html

#### MODULES ####
#加载模块

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)
#加载imuxsock模块，为本地系统登录提供支持
$ModLoad imklog   # provides kernel logging support (previously done by rklogd)
#加载imklog模块，为内核登录提供支持
#$ModLoad immark  # provides --MARK-- message capability
#加载immark模块，提供标记信息的能力

# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
#加载UPD模块，允许使用UDP的514端口接收采用UDP协议转发的日志

# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
#加载TCP模块，允许使用TCP的514端口接收采用TCP协议转发的日志

#### GLOBAL DIRECTIVES ####
#定义全局设置

# Use default timestamp format
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
#定义日志的时间使用默认的时间戳格式

# File syncing capability is disabled by default. This feature is usually not required,
# not useful and an extreme performance hit
#$ActionFileEnableSync on 
#文件同步功能。默认没有开启，是注释的。

# Include all config files in /etc/rsyslog.d/
$IncludeConfig /etc/rsyslog.d/*.conf
#包含/etc/rsyslog.d/目录中所有的“.conf”子配置文件。也就是说这个目录中的所有
#子配置文件也同时生效。

#### RULES ####
#日志文件保存规则

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console
#kern服务.所有日志级别									保存在/dev/console 
#这个日志默认没有开启，如果需要，则取消注释

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
#所有服务.info以上级别的日志保存在/var/log/messages日志中。
#mail，authpriv，cron的日志不记录在/var/log/messages日志文件中，因为它们都有自己的日志文件。
#所以/var/log/messages日志是最重要的系统日志文件，需要经常查看！

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure 
#用户认证服务所有级别的日志保存在/var/log/secure日志中

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog
#mail服务的所有级别的日志保存在/var/log/maillog日志中。
#“-”号的含义是日志先在内存之中保存，当日志够多之后，再向文件中保存。

# Log cron stuff
cron.*                 /var/log/cron
#计划任务的所有日志保存在/var/log/cron日志中

# Everybody gets emergency messages
*.emerg                                                 *
#所有日志服务的疼痛等级日志对所有在线用户广播。

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler
#uucp和news日志服务的crit以上的日志保存在/var/log/sppoler日志文件中。

# Save boot messages also to boot.log
local7.*                                                /var/log/boot.log
#loacl7日志服务的所有日志写入/var/log/boot.log日志中。
#会把开机时的检测信息在显示到屏幕的同时，写入/var/log/boot.log日志中

# ### begin forwarding rule ###
#定义转发规则
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple 
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
# 
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#$WorkDirectory /var/lib/rsyslog # where to place spool files
#$ActionQueueFileName fwdRule1 
# unique name prefix for spool files
#$ActionQueueMaxDiskSpace 1g   
# 1gb space limit (use as much as possible)
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
#$ActionQueueType LinkedList   
# run asynchronously
#$ActionResumeRetryCount -1    
# infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ##

[root@localhost ~]# vi /etc/rsyslog.conf
#写入一下一句话
*.crit                  /var/log/alert.log
#把所有服务的“临界点”以上的错误都保存在/var/log/alert.log日志中

[root@localhost ~]# service rsyslog restart  
关闭系统日志记录器：                                       [确定] 
启动系统日志记录器：                                       [确定] 
#重启rsyslog服务
[root@localhost ~]# ll /var/log/alert.log 
-rw-------. 1 root root 0 6月5 10:33 /var/log/alert.log
# alert.log日志就生成了

[root@localhost ~]# vi /etc/logrotate.conf
# see "man logrotate" for details
# rotate log files weekly 
weekly
#每周对日志文件进行一次轮替

# keep 4 weeks worth of backlogs
rotate 4
#保存4个日志文件，也就是说如果进行了5次日志轮替，就会删除第一个备份日志

# create new (empty) log files after rotating old ones
create
#在日志轮替时，自动创建新的日志文件

# use date as a suffix of the rotated file
dateext
#使用日期作为日志轮替文件的后缀

# uncomment this if you want your log files compressed
#compress
#日志文件是否压缩。如果取消注释，则日志会在转储的同时进行压缩

#以上日志日志配置为默认配置，如果需要轮替的日志没有设定独立的参数，那么都会遵守以上参数。
#如果轮替日志配置了独立参数，那么独立参数优先级更高。

# RPM packages drop log rotation information into this directory
include /etc/logrotate.d 
#包含/etc/logrotate.d/目录中所有的子配置文件。也就是说会把这个目录中所有子配置文件读取进来，进行日志轮替。

# no packages own wtmp and btmp -- we'll rotate them here
#以下两个轮替日志有自己的独立参数，如果和默认的参数冲突，则独立参数生效。
/var/log/wtmp {
#以下参数仅对此目录有效
	monthly
	#每月对日志文件进行一次轮替
	create 0664 root utmp
	#建立的新日志文件，权限是0664，所有者是root，所属组是utmp组        
		minsize 1M
		#日志文件最小轮替大小是1MB。也就是日志一定要超过1MB才会轮替，否则就算时间达到一个月，也不进行日志转储
	rotate 1
	#仅保留一个日志备份。也就是只有wtmp和wtmp.1日志保留而已
} 

/var/log/btmp {
#以下参数只对/var/log/btmp生效
	missingok
	#如果日志不存在，则忽略该日志的警告信息   
    monthly    
    create 0600 root utmp     
    rotate 1
} 

# system-specific logs may be also be configured here.

[root@localhost ~]# chattr +a /var/log/alert.log 
#先给日志文件赋予chattr的a属性，保证日志的安全
[root@localhost ~]# vi /etc/logrotate.d/alter
#创建alter轮替文件，把/var/log/alert.log加入轮替
/var/log/alert.log {        
	weekly					#每周轮替一次        
	rotate 6				#保留6个轮替日志        
	sharedscripts			#以下命令只执行一次        
	prerotate				#在日志轮替之前执行                
		/usr/bin/chattr -a /var/log/alert.log
		#在日志轮替之前取消a属性，以便让日志可以轮替        
	endscript				#脚本结束        
	sharedscripts        
	postrotate				#在日志轮替之后执行                
		/usr/bin/chattr +a /var/log/alert.log
		#日志轮替之后，重新加入a属性        
	endscript        
	
	sharedscripts        
	postrotate        
	/bin/kill -HUP $(/bin/cat /var/run/syslogd.pid 2>/dev/null) &>/dev/null        
	endscript        
	#重启rsyslog服务，保证日志轮替正常
}

/date/logs/nginx/access/access.log /date/logs/nginx/access/default.log {
#假设Nginx的日志放在/date目录下    
	daily    
	rotate 15    
	sharedscripts   
    postrotate        
    	/bin/kill -HUP $(/bin/cat /var/run/syslogd.pid) &>/dev/null        
    	#重启rsyslog服务        
    	/bin/kill -HUP $(/bin/cat /usr/local/nginx/logs/nginx.pid) &>/dev/null        
    	#重启Nginx服务    
    endscript
}

[root@localhost ~]# logrotate [选项] 配置文件名
选项：(如果此命令没有选项，则会按照配置文件中的条件进行日志轮替)    
	-v：显示日志轮替过程。加了-v选项，会显示日志的轮替的过程    
	-f：强制进行日志轮替。不管日志轮替的条件是否已经符合，强制配置文件中所有的日志进行轮替

[root@localhost ~]# logrotate -v /etc/logrotate.conf
#查看日志轮替的流程
...省略部分输出... 
rotating pattern: /var/log/alert.log  weekly (6 rotations)
#这就是我们自己加入轮替的alert.log日志。
empty log files are rotated, old logs are removed
considering log /var/log/alert.log  
log does not need rotating			#时间不够一周，所以不进行日志轮替
...省略部分输出...

[root@localhost ~]# logrotate -vf /etc/logrotate.conf
#强制进行日志轮替，不管是否符合轮替条件
...省略部分输出... 
rotating pattern: /var/log/alert.log  forced from command line (6 rotations)
empty log files are rotated, old logs are removed
considering log /var/log/alert.log  
log needs rotating		#日志需要轮替
rotating log /var/log/alert.log, log->rotateCount is 6
dateext suffix '-20180607' 		#提取日期参数
glob pattern '-[0-   9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]'  
glob finding old rotated logs failed
running prerotate script 
fscreate context set to unconfined_u:object_r:var_log_t:s0
renaming /var/log/alert.log to /var/log/alert.log-20180607
#旧的日志被重命名
creating new /var/log/alert.log mode = 0600 uid = 0 gid = 0
#创建新日志文件，同时制定权限、所有者和属组
running postrotate script 
...省略部分输出...

[root@localhost ~]# ll /var/log/alert.log*
-rw-------. 1 root root   0 6月7 10:07 /var/log/alert.log
-rw-------. 1 root root 237 6月7 09:58 /var/log/alert.log-20180607
#旧日志文件已经转储
[root@localhost ~]# lsattr /var/log/alert.log
-----a-------e- /var/log/alert.log
#新的日志文件被自动加入了chattr的a属性。