本文關(guān)鍵詞：操作系統(tǒng)

  更多相關(guān)文章： Linux操作系統(tǒng)日志 Linux操作系統(tǒng)中的日志系統(tǒng) Linux Linux教程 Linux系統(tǒng) Linux安裝 Ubuntu Fedora RedHat SUSE CentOS 紅旗Linux

Linux操作系統(tǒng)中的日志系統(tǒng)

[日期：2015-04-09] 來源：Linux社區(qū)  作者：Linux [字體：]

日志系統(tǒng)將我們系統(tǒng)運(yùn)行的每一個(gè)狀況信息都使用文字記錄下來，這些信息有助我們觀察系統(tǒng)運(yùn)行過程中正常狀態(tài)和系統(tǒng)運(yùn)行錯(cuò)誤時(shí)快速定位錯(cuò)誤位置的途徑等；下面主要概述一下Linux操作系統(tǒng)中的日志功能。

每個(gè)操作系統(tǒng)中都有自己的強(qiáng)大的日志功能，windows有，而linux同樣也有；linux操作系統(tǒng)中的日志功能主要通過服務(wù)syslog來實(shí)現(xiàn)(RedHat6.0以后使用的是syslog-ng)，而syslog服務(wù)下有兩個(gè)進(jìn)程syslogd和klogd，這兩個(gè)進(jìn)程一個(gè)用來記錄系統(tǒng)日志信息，一個(gè)用來記錄內(nèi)核日志信息；但是操作系統(tǒng)在運(yùn)行中會產(chǎn)生非常多的日志信息，如果我們將這些信息都記錄下來的話，那我們的磁盤I/O一定很繁忙，這對系統(tǒng)的性能有很大的影響，這就有違了我們的初衷，所以我們根據(jù)產(chǎn)生日志的來源和日志信息的重要性，將系統(tǒng)運(yùn)行中所產(chǎn)生的日志進(jìn)行分類；syslogd和klogd兩個(gè)進(jìn)程所記錄的日志信息和詳細(xì)程度又各有不同：

Klogd：記錄了系統(tǒng)初始化時(shí)所產(chǎn)生并顯示在物理終端上的信息，并保存在”/var/log/dmesg”文件中，我們可以使用“cat /var/log/dmesg”進(jìn)行查看，也可以使用專門的命令“dmesg”進(jìn)行查看

Syslogd：在系統(tǒng)初始化完成，將系統(tǒng)控制權(quán)轉(zhuǎn)交給init，此時(shí)產(chǎn)生的日志信息都有syslogd記錄，并存放在“/var/log/messages”文件中，主要保存的信息有“系統(tǒng)標(biāo)準(zhǔn)錯(cuò)誤日志信息，非內(nèi)核產(chǎn)生的引導(dǎo)信息，各個(gè)服務(wù)程序的子系統(tǒng)產(chǎn)生的信息等等”；在監(jiān)控系統(tǒng)運(yùn)行時(shí)一般使用“# tail -f /var/log/messages”來監(jiān)控新生成的日志信息

但是系統(tǒng)運(yùn)行中所產(chǎn)生的信息非常多，即使只記錄這些信息，也有很大量；此時(shí)如果我們?nèi)匀粚⑺腥罩拘畔⒍急４嬖谝粋�(gè)messages文件中，那么管理起來就非常困難了；那這怎么辦呢？我們引進(jìn)了另外一種技術(shù)“日志滾動”

日志滾動：當(dāng)日志messages文件大小或時(shí)間到一定程度之后，將這個(gè)文件定義為messages.1，并重新創(chuàng)建一個(gè)新的messages文件，此時(shí)messages.1不再記錄新的內(nèi)容，只是存放以前的內(nèi)容，如果新的messages文件再次達(dá)到這個(gè)標(biāo)準(zhǔn)之后，現(xiàn)在這個(gè)messages文件重命名為messages.1，原有的messages.1命名為messages.2，這樣依次類推；但是這樣一直滾動下去，很久以前的日志信息對我們現(xiàn)在管理已經(jīng)沒有很大用處了，所以我們可以定義只保留滾動多少次的日志文件；所以日志信息我們應(yīng)該經(jīng)常滾動，且一般定義多個(gè)標(biāo)準(zhǔn)

日志的滾動就是將這個(gè)日志文件進(jìn)行切割，在redhat上有一個(gè)專門的命令可以完成這個(gè)動作：logrotate；系統(tǒng)上有一個(gè)專門的系統(tǒng)任務(wù)計(jì)劃來完成日志切割“/etc/cron.daily”下有一個(gè)腳本叫做logrotate，這個(gè)命令的配置文件在“etc/logrotate.conf”下(定義了系統(tǒng)的日志滾動機(jī)制)

內(nèi)容格式是：

weekly    #全局定義每周滾動一次

rotate 4    #只保留四個(gè)滾動版本

include /etc/logrotate.d    #上面幾行是日志系統(tǒng)全局屬性，下面是各個(gè)小系統(tǒng)的具體屬性，執(zhí)行時(shí)以局部屬性為準(zhǔn)；局部日志屬性可定義多個(gè)

/var/log/wtmp {    #定義這個(gè)子系統(tǒng)自己的日志滾動機(jī)制，日志存放文件

monthly    #多長時(shí)間滾動一個(gè)

minsize 1M    #日志文件最小1M

create 0664 root utmp    #創(chuàng)建一個(gè)文件，權(quán)限是0664，屬主是root，文件名是utmp

rotate 1    #只保留一個(gè)滾動版本

}

日志滾動的腳本文件：# vim /etc/cron.daily/logrotate

如果不自己定義，則按照全局定義的日志滾動屬性，也可以在“/etc/logrotate.d/cups”文件下定義：

一些其他子系統(tǒng)產(chǎn)生的日志信息保存位置：

/var/maillog    #郵件系統(tǒng)產(chǎn)生的日志信息

/var/log/secure  #每個(gè)用戶在登錄時(shí)所產(chǎn)生的安全信息(什么時(shí)間誰以哪個(gè)用戶來自哪個(gè)主機(jī)嘗試登錄，嘗試了幾次，這個(gè)文件經(jīng)常查看)

syslog的配置文件在：/etc/syslog.conf

這個(gè)配置文件格式是：每一行都定義一個(gè)子系統(tǒng)產(chǎn)生的哪些級別的日志記錄到什么位置

facility.priority  action

Facility：日志來源

auth        #認(rèn)證子系統(tǒng)產(chǎn)生的

authpriv      #權(quán)限授權(quán)子系統(tǒng)產(chǎn)生的

cron        #任務(wù)計(jì)劃子系統(tǒng)產(chǎn)生的

daemon      #守護(hù)進(jìn)程子系統(tǒng)產(chǎn)生的

kern        #內(nèi)核子系統(tǒng)產(chǎn)生的,定義klogd的記錄內(nèi)容

lpr          #打印子系統(tǒng)產(chǎn)生的

mail        #郵件子系統(tǒng)產(chǎn)生的

mark        #標(biāo)記子系統(tǒng)產(chǎn)生的

news        #新聞子系統(tǒng)產(chǎn)生的

security      #安全子系統(tǒng)產(chǎn)生的，與auth來源類似

syslog      #定義syslog自己的要記錄的

user        #用戶子系統(tǒng)所產(chǎn)生的的

uucp        #Unix to unix cp子系統(tǒng)所產(chǎn)生的

local0-->local7  #用戶自定義使用

*            #所有來源

Priority(log level)日志級別：(級別越低記錄的越詳細(xì))

debug          #程序或系統(tǒng)的調(diào)試信息(記錄非常詳細(xì)，一般只在系統(tǒng)無法啟動，排除錯(cuò)誤時(shí)使用)

info          #一般信息

notice        #不影響系統(tǒng)正常功能，但需要注意的信息

warning/warn  #可能影響系統(tǒng)功能，需要提醒用戶注意的重要事件；這種信息可能會引起部分功能的運(yùn)行

err/error      #錯(cuò)誤信息，，已經(jīng)影響系統(tǒng)部分功能；藍(lán)色警報(bào)

crit          #比較嚴(yán)重的信息；橙色警報(bào)

alert          #必須馬上處理的信息；紅色警報(bào)

emerg/panic    #導(dǎo)致系統(tǒng)不可用的信息；一般這一刻出現(xiàn)，下一刻系統(tǒng)就會down掉

*              #所有日志級別，類似debug

none          #和*相反，表示哪個(gè)級別都沒有

Action(動作)指定日志記錄的位置：

系統(tǒng)上的絕對路徑    #普通文件，如/var/log/***

|                  #通過管道送給其他命令處理

終端          #顯示在哪個(gè)終端(物理終端，虛擬終端，偽終端等等)

@HOST                #遠(yuǎn)程主機(jī)；產(chǎn)生的日志信息，自己不記錄，而傳送給其他主機(jī)記錄，一般用于日志服務(wù)器，可以增強(qiáng)當(dāng)前服務(wù)器的安全；默認(rèn)情況下只為自己記錄日志信息

【如果要使得我們的服務(wù)器稱為日志服務(wù)器，只需在“/etc/sysconfig/syslog”文件中的"SYSLOGD_OPTIONS="-r -m 0""這一行中添加一個(gè)“-r”選項(xiàng)，重新啟動服務(wù)即可開啟日志服務(wù)器功能】

用戶                #產(chǎn)生的日志信息都發(fā)送給某個(gè)用戶，如root

*                  #登錄到系統(tǒng)上的所有用戶，一般emerg級別的日志是這樣定義的

syslog日志服務(wù)屬性定義實(shí)例：

mail.info  /var/log/maillog  #將mail相關(guān)的級別為info及info以上級別的信息記錄到/var/log/maillog文件中

auth.=info  @10.0.0.1  #將auth相關(guān)的info級別的信息記錄到10.0.0.1主機(jī)上，前提是10.0.0.1主機(jī)能夠接收到其他主機(jī)發(fā)來的日志信息(此時(shí)只記錄info級別)

user.!=error        #記錄與user相關(guān)的，但不記錄error級別的信息，只記錄其他所有級別

user.!error          #與user.error相反，此時(shí)只記錄比error級別低的日志信息

*.info              #記錄所有可能產(chǎn)生日志子系統(tǒng)的info級別及其以上級別的日志信息

mail.*              #記錄與mail所產(chǎn)生的所有級別的日志信息

*.*                  #記錄所有日志信息

cron.info;mail.info  #記錄cron相關(guān)的info及以上級別的日志信息和mail相關(guān)的info和以上級別的日志信息，多個(gè)日志來源之間以“;”分號隔開

cron,mail.info      #和上邊是一個(gè)意思，如果兩個(gè)日志來源的記錄級別相同，可以縮寫，來源之間以“,”逗號隔開

mail.*;mail.!=info  #記錄與mail相關(guān)的所有級別的日志信息，但不包括info級別的所有信息

Syslog的默認(rèn)配置文件定義解釋：

# cat /etc/syslog.conf

*.info;mail.none;authpriv.none;cron.none  /var/log/messages  #所有可能產(chǎn)生日志信息的子系統(tǒng)的info級別及以上級別的日志信息，都保存在messages文件中，但是不包括mail，authpriv，cron子系統(tǒng)的

authpriv.*  /var/log/secure  #所有用戶授權(quán)的日志信息都記錄到secure文件中

mail.*  -/var/log/maillog  #所有郵件子系統(tǒng)產(chǎn)生的日志信息都異步保存在maillog文件中，“-”表示異步寫入，其他日志信息都要同步寫入

cron.*  /var/log/cron  #所有任務(wù)計(jì)劃的日志信息都記錄到cron文件中

*.emerg  *  #無論系統(tǒng)上哪個(gè)程序產(chǎn)生emerg級別的信息，都立即通知給系統(tǒng)上的所有用戶，馬上就要down機(jī)了

uucp,new.crit  /var/log/spooler  #來自uucp和new子系統(tǒng)的crit級別的信息都保存在spooler文件中

local7.*  /var/log/boot.log  #自己定義的日志記錄，此處系統(tǒng)默認(rèn)定義的是系統(tǒng)引導(dǎo)信息，保存在boot.log文件中；但此處并沒有定義誰向這個(gè)文件中填寫，所以這個(gè)文件是空文件，我們需要在其他文件中定義這個(gè)日志信息要發(fā)送到local7中，才會寫到boot.log文件中，一般意義不大

這個(gè)文件保存之

本文編號：1011477