1.日志是个好朋友(好帮手)
一般的错误都会在日志中显示。
从Centos6 开始 日志服务已经由 rsyslogd 代替了 原有的 syslogd
系统日志解析
1 2 3 4 5 6 7 |
#系统日志一般都存放在 /var/log/cron 下,这些日志都可以直接用编辑器直接查看 /var/log/cron #定时任务日志 /var/log/cpus #记录打印信息日志(前提你得有打印机)[一般不用] /var/log/dmesg #记录了系统在开机时内核自检的信息,也可以用dmesg命令直接查看内核自检信息 /var/log/mailog #记录邮件信息 /var/log/message#记录系统重要信息的日志。这个日志文件中会记录linux绝大多数重要信息,如果系统出现问题,首先应该检查的应该就得是这个文件。 /var/log/secure #记录验证和授权方面信息,只要涉及账号和密码都会记录,例如:系统登录,ssh登录,su切换用户,sudo授权,甚至添加用户和修改修改用户密码都会记录进来 |
二进制日志(重要)
1 2 3 4 5 |
/var/log/btmp #记录错误登录的日志,这个文件是二进制文件,不能直接vi查看,而要用lastb命令查看,命令如下:# lastb /var/log/lastlog #记录系统中所有用户最后一次的登录时间 /var/log/wtmp #永久记录所有用户,登录,注销,同时也记录系统开机关机事件 /var/run/utmp #记录当前用户登录信息,这个文件会随着用户切换或者登录注销而不断变化,只记录当前登录用户信息。可以使用,w,who,users 等命令查询 |
请注意:并不是所有的日志都在/var/log下,如果你是rpm包,那基本都在这个目录下,如果你是源码包安装的,那么你就要在源码包根目录下logs里查看,当然你也可以手动指定源码包的日志路径
rsyslogd 配置文件
1 |
/etc/rsyslog.conf |
1 2 3 4 5 6 7 8 9 10 11 12 13 |
# The authpriv file has restricted access. authpriv.* /var/log/secure authpriv:服务名称 .:连接符号,代表只要比后面的等级高(包含该等级)日志都记录下来,比如 cron.info 代表cron服务产生的日志,只要日志等级大于info级别,就记录 *:代表日志等级,*代表所有类型日志 /var/log/secure :日志路径 扩展: *= :代表只记录所需等级日志,其他等级都不记录,例如 *=emerg 代表只记录emerg等级日志,其他都不记录 .! : 代表不等于,也就是除了该等级日志之外,其他等级的日志都记录 |
常见日志等级
1 2 3 4 5 6 7 8 9 10 11 |
debug (LOG_DEBUG) 一般调试信息说明 info (LOG_INFO) 基本通知信息 notice (LOG_NOTICE) 普通信息,但有一定重要性 warning(LOG_WARNING) 警告信息,但还不会影响系统运行 err (LOG_ERR) 错误信息,一般到达err等级的信息,可以影响到服务或者系统运行了 crit (LOG_CRIT) 临界状况信息,比err还要严重 alert (LOG_ALERT) 警告状态信息,比crit还要严重,应当立即采取行动 emerg (LOG_EMERG) 疼痛等级信息, 系统已经无法使用了 * 代表以上所有日志等级,例如:authpriv.* 代表认证信息服务所有日志等级都记录 nono 忽略这个服务日志,什么都不记录 |
常见 服务 日志
1 2 3 4 5 6 7 8 9 10 11 12 13 14 |
服务名称 说明 auth(LOG_AUTH) 安全和认证相关信息(不推荐使用authpriv代替) authpriv(LOG_AUTHPRIV) 安全和认证相关消息(私有的) cron (LOG_CRON) 系统定时任务 cront 和 at产生的日志 daemon (LOG_DAEMON) 各个守护进程相关的日志 ftp (LOG_FTP) ftp守护进程产生的日志 kern (LOG_KERN) 内核产生的日志(不是用户进程产生的) local0-local7 (LOG_LOCAL0-7) 为本地使用预留的服务 lpr (LOG_LPR) 打印产生的日志 mail (LOG_MAIL) 邮件收发信息 news (LOG_NEWS) 与新闻服务器相关日志 syslog (LOG_SYSLOG) 有syslogd服务产生的日志信息(虽然服务名称已经修改为rsyslogd,但是很多配置还是沿用了syslogd,这里并没有修改服务名称) user (LOG_USER) 用户等级类别日志信息 uucp (LOG_UUCP) uucp子系统的日志信息,uucp是早期linux系统进行数据传输协议,后来也常用在新闻组服务中 |
解析
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 |
#### MODULES #### # The imjournal module bellow is now used as a message source instead of imuxsock. $ModLoad imuxsock # provides support for local system logging (e.g. via logger command) $ModLoad imjournal # provides access to the systemd journal #$ModLoad imklog # reads kernel messages (the same are read from journald) #$ModLoad immark # provides --MARK-- message capability #加载UPD模块,允许使用UDP的514端口接收采用UDP协议转发的日志 # Provides UDP syslog reception #$ModLoad imudp #$UDPServerRun 514 #加载TCP模块,允许使用TCP的514端口接收采用TCP协议转发的日志 # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514 #### GLOBAL DIRECTIVES #### #定义全局设置 # Where to place auxiliary files $WorkDirectory /var/lib/rsyslog # Use default timestamp format #定义日志时间使用默认的时间格式 $ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat #同步功能,目前是米有开启的 # File syncing capability is disabled by default. This feature is usually not required, # not useful and an extreme performance hit #$ActionFileEnableSync on #包含/etc/rsyslog.d/目录中所有的 ".conf" 子配置文件。也就是说这个目录中的子配置文件也同时生效 ,nginx也是这种加载模式咯 # Include all config files in /etc/rsyslog.d/ $IncludeConfig /etc/rsyslog.d/*.conf # Turn off message reception via local log socket; # local messages are retrieved through imjournal now. $OmitLocalLogging on # File to store the position in the journal $IMJournalStateFile imjournal.state #### RULES #### # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! #任何日志,这里的"*"代表日志名称,任何日志只要比.info的级别高,就记录在message日志中,除了mail,authpriv,cron这三服务的日志,因为他们都为none *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. #认证日志,所有的级别都记录 authpriv.* /var/log/secure # Log all the mail messages in one place. #邮件日志,所有的级别都记录 mail.* -/var/log/maillog #"-"减号的意思是日志先在内存中保存,当日志够多之后再向文件中保存 # Log cron stuff #定时任务日志,所有的级别都记录 cron.* /var/log/cron # Everybody gets emergency messages (疼痛等级日志) *.emerg :omusrmsg:* #下面的都是一些自定义日志 (HAproxy日志就需要自定义) # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log #例如:自定义一个 任何日志只要比crit高(包含该等级),就记录日志(设置之后要重启下 systemctl restart rsyslogd) *.crit /var/log/shooter.log # ### begin forwarding rule ### # The statement between the begin ... end define a SINGLE forwarding # rule. They belong together, do NOT split them. If you create multiple # forwarding rules, duplicate the whole block! # Remote Logging (we use TCP for reliable delivery) # # An on-disk queue is created for this action. If the remote host is # down, messages are spooled to disk and sent when it is up again. #$ActionQueueFileName fwdRule1 # unique name prefix for spool files #$ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible) #$ActionQueueSaveOnShutdown on # save messages to disk on shutdown #$ActionQueueType LinkedList # run asynchronously #$ActionResumeRetryCount -1 # infinite retries if host is down # remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional #*.* @@remote-host:514 # ### end of the forwarding rule ### |
- 本文固定链接: https://www.yoyoask.com/?p=1561
- 转载请注明: shooter 于 SHOOTER 发表