系统常用日志

• 常见系统日志存储位置
  
  图片来源韩顺平Linux
  注意：二进制的日志文件需要用lastlog查看

日志管理服务（rsyslogd）

ps -aux |grep "rsyslog" #查看此进程是否启动
systemctl list-unit-files | grep rsyslog #查看是否开启自启动

一、日志管理服务的配置文件：/etc/rsyslog.conf
编辑文件时的格式为: *.*
其中第一个*代表日志类型 ，第二个*代表日志级别
1.日志类型分为 :
auth #pam产生的日志
authpriv #ssh. ftp等登录信息的验证信息
corn #时间任务相关
kern #内核
lpr #打印
mail #邮件
mark(syslog)-rsyslog #服务内部的信息，时间标识
news #新闻组
user #用户程序产生的相关信息
uucp #unix to nuix copy主机之间相关的通信
local 1-7 #自定义的日志设备
2.日志级别
debug #有调试信息的,日志通信最多
info #一般信息日志，最常用
notice #最具有重要性的普通条件的信息
warning #警告级别
err #错误级别,阻止某个功能或者模块不能正常工作的信息
crit #严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert #需要立刻修改的信息
emerg #内核崩溃等重要信息
none #什么都不记录
注意:从上到下，级别从低到高，记录信息越来越少

它的含义是将mail相关的所有日志信息记录到/var/log/maillog中
二、日志文件格式
包含四列：
（1）事件产生的时间 （2）产生事件的服务器主机名 （3） 产生事件的服务器名或程序名 （4）事件的具体信息

三、日志轮替
配置文件：/etc/logrotate.conf(指定轮替策略）

1. centos7使用logrotate进行日志轮替管理,要想改变日志轮替文件名字，通过/etc/logrotate.conf配置文件中"dateext"参数
2. 如果配置文件中有 “dateext” 参数,那么日志会用日期来作为日志文件的后缀,例如"secure-
   20201010"。这样日志文件名不会重叠,也就不需要日志文件的改名，只需要指定保存日志个数，删除多余的日志文件即可。
3. 如果配置文件中没有"dateext’参数，日志文件就需要进行改名了。当第一次进行日志轮替时,当前的’secure" 日志会自动改名为"secure.1" ,然后所”secure" 日志，用来保 字所的日志。 当第二次进行日志轮替时，“secure.1” 会自动改名为"secure.2” ,当前的"secure" 日志会自动改名为
   "secure.1”,然后也会新建"secure"日志，用来保存新的日志,以此类推。

#配置文件/etc/logrotate.conf的内容如下

# see "man logrotate" for details
# rotate log files weekly
weekly #每周对日志进行一次轮替

# keep 4 weeks worth of backlogs
rotate 4 #共保持4份日志，当建立新的日志文件时，旧的会被删除

# create new (empty) log files after rotating old ones
create

# use date as a suffix of the rotated file
dateext #使用日期作为文件后缀

# uncomment this if you want your log files compressed
#compress

# RPM packages drop log rotation information into this directory
include /etc/logrotate.d  #可以将单独的规则写在logrotate.d目录下，也可以写在当前配置文件里，如下面的举例/var/log/wtmp {}

# no packages own wtmp and btmp -- we'll rotate them here
# 在这里指定具体某一个文件的日志跪在
/var/log/wtmp {
    monthly
    create 0664 root utmp
        minsize 1M
    rotate 1
}

更多参数（图片来源韩顺平Linux）：