日志對于系統管理員來說，非常重要，查詢系統/軟件的運行情況，是否出現錯誤，日常系統監控等等都離不開日志。 在`Linux`系統中，系統日志是由一個名為`rsyslog`的服務管理的，默認的日志守護進程為 rsyslog , rsyslog 是 syslog 的升級版本，默認安裝，隨機啟動。主配置文件位于`/etc/rsyslog.conf` ## /etc/rsyslog.conf 日志主配置文件 rsyslog.conf 的語法為： ~~~ 設備.級別 [-]動作 ~~~ * 設備字段說明： | 類型 | 說明 | | --- | --- | | auth | 用戶認證時產生的日志，如 login 命令、su 命令等 | | authpriv | 與 auth 類似， 但只能被特定用戶查看 | | console | 針對系統控制臺的消息 | | cron | 系統定期執行計劃任務時產生的日志 | | daemon | 某些守護進程產生的日志 | | ftp | FTP服務產生的日志 | | kern | 系統內核消息 | | local0.local7 | 自定義程序使用 | | lpr | 打印機相關的日志 | | mail | 郵件相關的日志 | | mark | 產生的時間戳，系統每隔一段時間向日志文件中輸出當前時間 | | news | 網絡新聞傳輸協議(nntp)產生的日志 | | ntp | 網絡時間協議(ntp)產生的日志 | | user | 用戶相關進程產生的日志 | | uucp | uucp子系統進程 | * 級別字段說明： | 優先級 | 說明 | | --- | --- | | emerg | 緊急情況，系統不可用(例如系統崩潰)，一般會通知所有用戶 | | alert | 需要立即修復，例如系統數據庫損壞 | | crit | 危險情況，例如硬盤錯誤，可能會影響程序的部分功能 | | err | 一般錯誤消息 | | warning | 警告消息 | | notice | 不是錯誤，但可能需要處理 | | info | 通用性消息，一般用來提供有用信息 | | debug | 調試程序產生的信息 | | none | 沒有優先級，不記錄任何日志信息 | * 動作字段說明： | 值 | 說明 | | --- | --- | | filename | 指定絕對路徑的日志文件名來記錄日志信息 | | -filename | 異步記錄日志文件 | | :omusrmsg:users | 發送信息到指定的用戶，users 可以是用逗號分隔符的用戶類別，*表示所有用戶 | | device | 將信息發送到指定設備中，如 /dev/console | | |named-pipe | 將日志記錄到命令管道，用于日志調試非常方便 | | @hostname | 將信息發送可解析遠程主機hostname或IP，該主機必須正在運行 rsyslogd ,并可以識別 rsyslog 的配置文件，使用 upd:514 端口傳送日志信息 | | @@hostname | 將信息發送可解析遠程主機 hostname 或 IP ，該主機必須正在運行 rsyslogd ,并可以識別 rsyslog 的配置文件，使用 tcp:514 端口傳送日志信息 | * rsyslog程序管理 * 安裝：`yum install -y rsyslog` * 啟動：`systemctl start rsyslog` * 查詢：`systemctl status rsyslog` * 查詢：`ps aux | grep rsyslog` * 升級：`yum update rsyslog` ## 日志輪轉 logrotate.conf 日志輪轉文件為：`/etc/logrotate.conf` 和 `/etc/logrotate.d/`目錄下的所有文件 日志輪轉規則： * weekly 按周輪轉 * rotate 4 保留4份日志文件 * create 創建新文件 * dateext 用日期做文件附加名字 * compress 壓縮日志文件