基本介绍：

1、日志文件是重要的系统信息文件，其中记录了许多重要的系统事件，包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等

2、日志对于安全来说也很重要，他记录了系统每天发送的各种事情，通过日志来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹

3、可以这样理解：日志是用来记录重大事件的工具

绝大部分的系统日志文件保存在　/var/log/目录下

/var/log/boot.log系统启动日志

/var/log/cron记录与系统定时任务相关的日志

/var/log/lasllog记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件。要用lastlog命令查看

/var/log/maillog记录邮件信息的日志

/var/log/message记录系统重要消息的日志，这个日志文件中会记录Linux系统的绝大多数重要信息。如果系统出问题，首先要检查的应该就是这个日志文件

/var/log/secure记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如系统的登录、ssh的登录、su切换用户、sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

/var/log/ulmp记录当前已经登录的用户信息。这个文件会随着用户的登录和注销而不断变化，只记录当前登录用户的信息。这个文件不能用Vi查看，而要使用w、who、users等命令查看

日志管理服务：rsyslogd

ps　aux　|　grep　"rsyslog"　|　grep　-v　"grep"　查询Linux中的rsyslog服务是否启动

systemctl　list-unit-files　|　grep　rsyslog　查询rsyslogd服务的自启动状态

配置文件：/etc/rsyslog.conf

编辑文件时的格式为：*.* 存放日志文件   第一个*代表日志类型，第二个*代表日志级别

1、日志类型分为：

auth　　　　　　##pam产生的日志

authpriv　　　　 ##ssh、ftp等登录信息的验证消息

corn　　　　　　##时间任务相关

kern　　　　　　##内核

lpr　　　　　　   ##打印

mail　　　　　　##邮件

mark（syslog）-rsyslog　　##服务内部的信息

news　　　　　　##新闻组

user　　　　　　 ##用户程序产生的相关信息

uucp　　　　　　##unix　to　nuix　copy主机之间相关的通信

local　1-7　　　　##自定义的日志设备

2、日志级别：

debug　　　　##有调试信息的，日志通信最多

info　　　　　　##一般信息日志，最常用

notice　　　　##最具有重要性的普通条件的信息

warning　　　　##警告级别

err　　　　　　##错误级别，阻止某个功能或者模块不能正常工作的信息

crit　　　　　　##严重级别，阻止整个系统或者整个软件不能正常工作的信息

alert　　　　　　##需要立刻修改的信息

emerg　　　　　##内核崩溃等重要信息

none　　　　　　##什么都不记录

注意：从上到下，级别从低到高，记录信息越来越少

自定义日志服务：vim　　/etc/rsyslog.conf　　增加日志规则

　　　　　　　　　　　 /etc/logrotate.canf　　全局的日志轮替策略/规则，当然可以单独给某个日志文件指定策略

日志轮替：把旧日志文件移动并改名，同时建立新的空日志文件，当旧日志文件超出保存范围之后，就会进行删除

日志轮替文件命名：

1、centos7使用logrotate进行日志轮替管理，想要改变日志轮替文件名字，通过/etc/logrotate.conf配置文件中“dateext”参数；

2、如果配置文件中有“dateext”参数，那么日志会用日期来作为日志文件的后缀，例如“secure-20201010”。这样日志文件名不会重叠，也就不需要日志文件的改名，只需要指定保存日志个数，删除多余的日志文件即可。

3、如果配置文件中没有“dateext”参数，日志文件就需要进行改名了。当第一次进行日志轮替时，当前的“secure”日志会自动改名为“secure.1”，然后新建“secure”日志，用来保存新的日志。当第二次进行日志轮替时，“secure.1”会自动改名为“secure.2”，当前的“secure”日志会自动改名为“secure.1”，然后也会新建“secure”日志，用来保存新的日志，以此类推。

weekly每周对日志文件进行一次轮替

rotate4共保存4份日志文件，当建立新的日志文件时，旧的将会被删除

create创建新的空的日志文件，在日志轮替后

dateext使用日期作为日志轮替文件的后缀

查看内存日志

journalctl可以查看内存日志