linux日志搜索关键字,linux服务日志记录
本内容由系统网小编为大家分享,Windows系统安装教程、办公系统、软件怎么使用、软件使用教程、办公软件攻略等信息。
目录
1. 日志介绍
2.文件管理服务 rsyslogd
3.配置文件/etc/rsyslog.conf
4.查看日志在日志文件中
5. 自定义日志
6. 日志轮替
什么是日志轮替
日志轮替配置文件
配置文件中的每个代码段参数的意义
单独指定您自己的日志的轮换规则
日志轮替机制
查看内存日志
1. 日志介绍
日志文件是重要的信息系统文件,有许多重要的系统事件被记录下来,包括用户登录信息、系统启动信息、系统安全信息、邮件相关信息和各种服务相关信息。不仅如此,记录对于安全也很重要。它记录系统每天发生的一切事情,可以使用日志来检查错误的发生原因或攻击者在攻击时留下的痕迹。总的来说,日记是记录重大事件的工具。 Linux操作系统中常见的日志存储在/var/log/目录中: /var/log/boot.log//系统启动日志 /var/log/cron//与系统计划任务有关的日志 /var/log/cups//记录印刷信息的日志 /var/log/dmesg//在启动时记录系统内核自检信息,也可以直接使用dmesg命令查看 /var/log/btmp //记录错误日志,这是二进制文件,需要由命令lastb查看,不能直接由 vim查看 /var/log/lastlog//记录系统所有用户最后的登录时间,这是使用lastlog命令查看的二进制文件 /var/log/mailog//记录邮件信息的日志 /var/log/message//记录系统的重要信息的日志,其中包含了Linux中大部分重要的信息,如果存在系统问题,应先检查 /var/log/secure//记录认证和授权信息,只要记录涉及帐户和密码的程序,例如系统登录、ssh登录、添加用户、修改用户密码等。 /var/log/wtmp//永久记录所有用户登录和取消信息,同时记录系统启动、重新启动、关闭事件,使用最后的命令查看 /var/tun/ulmp//记录当前登录用户的信息。这个文件将随着用户登录和退出而改变,并且只记录当前登录用户的信息。2.文件管理服务 rsyslogd
CentOS6.x版本的日志服务是syslogd;CentOS7.x版本的日志服务是rsyslogd,二者是兼容的。这里使用的rsyslogd,它的功能更加强大。rsyslogd实际上是一个后端程序/服务。管理操作系统中的日志。询问Linux中的rsyslogd服务是否使用命令启动ps aux | grep "rsyslog" | grep -v "grep"; 使用命令查询rsyslogd服务自启动状态systemctl list-unit-files | grep rsyslog;3.配置文件/etc/rsyslog.conf
需要知道rsyslogd管理日志和每个目录中的日志的意义都是配置的文件【/etc/rsyslog.conf】编写配置文件的格式是*.*,第一个*表示日志类型,第二个*表示日志级别。| auth | pam 产生的日志 |
| authpriv | 例如ssh、ftp等登录信息的验证 |
| corn | 时间任务相关 |
| kern | 内核 |
| lpr | 打印 |
| 邮件 | |
| mark(syslog)-rsyslog | 服务内部信息、时间识别 |
| news | 新闻组 |
| user | 用户程序生成的相关信息 |
| uucp | 宿主间Unix-to-nuix复制通信 |
| local 1-7 | 自定义的日志设备 |
| debug | 最大模块信息的日志通信 |
| info | 一般信息日志,最常用的 |
| notice | 有关最重要共同条件的资料 |
| warning | 警告级别 |
| err | 防止函数或模块正常运行的错误级别。 |
| crit | 严重程度的信息组织整个系统或整个软件不能正常工作。 |
| alert | 需要立即修改的信息 |
| emerg | 内核崩溃等重要信息 |
| none | 什么都不记录 |
4.查看日志在日志文件中
由log服务rsyslogd记录的log文件格式包含4个列: 产生事件的时间 生成事件的服务器主机名称 生成事件的服务或程序名称 事件的具体信息 如果我们看看/var/log/secure日志;5. 自定义日志
例:在/etc/rsyslog.Add a log file /var/log/mjj to conf.log,当事件发生时,该文件接收信息并保存它。 添加以下代码,将所有类型的日志添加到mjj.log; Wq在保存.thelog文件后创建mjj,此时查看文件是空的; 接下来使用命令reboot重新启动系统并再次查看mjj.log文件;6. 日志轮替
什么是日志轮替
日志转动是创建一个新的空日志文件时移动和重命名旧日志文件,当旧日志文件超过保存范围时被删除。 CentOS7使用 logrotate 如果要更改日志回转文件名,请管理日志回转,以便修改/etc/logrotate。 如果配置文件包含dateext参数,则日志将使用日志文件的प्रत्यय,例如mjj-20220607;因此日志文件名不会重叠,不需要更改名称,只需指定保存日志的数目,并删除剩下的日志文件。 如果配置文件中没有dateext参数,则需要重新命名日志文件。当前的mjj日志在第一个日志旋转时将自动更改为mjj,然后创建新的mjj日志保存新的日志,当第二个日志翻转时,mjj.自动重新命名为mjj.2,当前的mjj日志被重新命名为mjj.1,然后创建一个新的mjj日志保存新的日志。日志轮替配置文件
/etc/logrotate.Conf文件是 achievetate的全球配置文件,包含以下内容:
配置文件中的每个代码段参数的意义
| daily | 日记的重复是每日 |
| weekly | 期刊周期是每周的 |
| monthly | 日志的重复是每月的 |
| rotate 数字 | 保存的日志文件数目.0意味着没有备份 |
| compress | 更换日志时将压缩旧日志 |
| create mode owner group | 创建新的日志,并指定新日志的权限和所有权以及它所属的组 |
| mail address | 当日内更改日志时,输出内容将以邮件发送到指定的电子邮件地址 |
| missingok | 如果日志不存在,则忽略日志的警告信息 |
| notifempty | 如果日志是空文件,请不要旋转日志 |
| minsize大小 | 日志旋转的最低值,即日志必须达到这个最低值才能被替换,否则即使它达到时间,也不会被替换 |
| size大小 | 仅当它们大于指定的大小时,才替换日志,而不是根据时间 |
| dateext | 使用日期作为日记中文件的替换 Suffix |
| sharedscripts | 此键之后的脚本只执行一次 |
| prerotate/endscript | 在替换日志之前执行脚本命令 |
| postrotate/endscript | 在日志旋转后执行脚本命令 |
您可以单独设置一个日志策略,或将日志文件的轮换规则写入/etc/logrotate。 在d目录中,例如启动系统启动日志。 日志位于这个目录中:
单独指定您自己的日志的轮换规则
这里我们仍然在创建前.log的mjj记录文件上工作;
为特定日志文件单独指定转动规则有两种方法:
直接在/etc/logrotate.Replacement规则写入conf配置文件中的日志。 在/etc/logrotate.d/目录中,为日志创建一个旋转文件,并写出旋转规则,因为目录中的所有子配置文件都包含在/etc/logrotate.In conf,所以你也可以将日志添加到替换(推荐)。接下来我们用mjj.log的第二个方法创建一个新的旋转文件mjjlog,并添加自定义规则;
将文件保存如下后,将根据mjj的指定规则被全球配置文件识别。
日志轮替机制
日志回转允许您在指定的时间内备份日志,这是因为它依赖于系统计划的任务。在/etc/cron. There is a document achievetate in the daily/ directory,日志轮替换了 achievetate,这取决于通过这个文件及时执行任务。
查看内存日志
在Linux中,有些日志是预先写在内存中,这些日志是与系统内存相关的实时更改。 每次重新启动系统内存的日志都会被清除。 journalctl 。
journalctl # 查看所有期刊 journalctl -n 3 #查看最近的三个期刊 journalctl --since 13:00 --until 15:30 # 从开始到结束时间查看日志 journalctl -p err #报告错误日志 journalctl -o verbose # 日志详情 journalctl _PID=123 _COMM=sshd # 查看包含这些参数的日志XTw.com.Cn系统网专业应用软件下载教程,免费windows10系统,win11,办公软件,OA办公系统,OA软件,办公自动化软件,开源系统,移动办公软件等信息,解决一体化的办公方案。
免责声明:本文中引用的各种信息及资料(包括但不限于文字、数据、图表及超链接等)均来源于该信息及资料的相关主体(包括但不限于公司、媒体、协会等机构)的官方网站或公开发表的信息。内容仅供参考使用,不准确地方联系删除处理!
联系邮箱:773537036@qq.com
