(一)日志管理基础
rsyslog 日志管理
logrotate 日志轮转
(二) 处理日志的进程
rsyslogd: 处理绝大部分系统相关的日志记录(比如: 和系统操作有关的安全,认证ssh,su,计划任务at/cron......)
hrttpd/nginx/mysql: 这些第三方的进程大多可以以自己的方式记录日志,不需要rsyslogd
(三)常见的日志文件(系统、进程、应用程序)
rsyslogd进程把系统相关的日志写在相关的文件中去(rsyslog有自己的配置文件,来决定如何对不同的日志进行处理),下面列出了部分相关的日志文件:
以上的 * ) mysqld.log 并不是由rsyslod来记录的,时mysql自己处理的。但是系统有一个约定,不管是rsyslog还是第三方进程产生的日志,都建议放在/var/log 下进行保存。
*) 还有一些日志文件是不允许看的,或者说有些日志不是文本文件,是二进制文件,比如 : /var/log/wtmp /var/log/btmp /var/log/lastlog 这几个
了解了系统常见日志后,下面看几个例子:
(四) rsyslogd 子系统
[[email protected] cron.d]# rpm -qc rsyslog
/etc/logrotate.d/syslog //和日志办轮转(切割)相关
/etc/rsyslog.conf //rsyslogd的主配置文件
/etc/sysconfig/rsyslog //rsyslogd相关文件
[[email protected] cron.d]#
4.1 其中 rsyslog.conf 文件内容:第一项是设备 第二项是级别 第三项是处理方式
这里的设备 不是进程
rsyslog记录日志流程:开发人员开发程序将程序通过syslog()函数与设备关联,设备是一种消息类型。
logger程序再将设备信息交给rsyslogd去处理。rsyslogd根据事先定义的规则,去处理记录日志。
LOCAL0-LOCAL7是自定义设备
日志级别: