一、系統(tǒng)日志
日志在所有應(yīng)用系統(tǒng)中都占有極其重要的位置,本文主要介紹linux系統(tǒng)內(nèi)核的日志,另外還介紹了一些日志分析工具。
1. 說明
看Linux系統(tǒng)信息日志主要的兩種途徑:
- dmesg,用來檢測和控制內(nèi)核環(huán)緩沖。
- /var/log 下的文件
2. dmesg
Linux將系統(tǒng)啟動信息傳到ring buffer中,內(nèi)核產(chǎn)生的信息由printk()函數(shù)打印出來。printk()函數(shù)打出的信息用數(shù)字表示消息重要級別,高于一定級別會打印到屏幕。
sudo dmesg > message.txt
打印最近一次的信息
sudo dmesg | tail -f
Linux系統(tǒng)啟動后,由/etc/init.d/sysklogd先后啟動klogd,syslogd兩個(gè)守護(hù)進(jìn)程。
- klogd:kernel,記錄內(nèi)核相關(guān)的日志? - syslogd:service,記錄應(yīng)用程序的日志
3. klogd
使用klogd讀取內(nèi)核信息有兩種方式:
- syslog()函數(shù)
- 讀取/proc/kmsg/得到內(nèi)核printk()發(fā)出的信息。
klogd的輸出結(jié)果會傳送給syslogd進(jìn)行處理,syslogd會根據(jù)/etc/syslog.conf的配置把log信息輸出到/var/log/下的不同文件中.
4. 常用的系統(tǒng)日志文件
/var/log/boot.log
記錄本次開機(jī)時(shí)的啟動信息,包括內(nèi)核檢測硬件、各種內(nèi)核支持的功能等。
/var/log/cron 計(jì)劃任務(wù)的日志
/var/log/dmesg
系統(tǒng)啟動時(shí),內(nèi)核檢測過程中產(chǎn)生的信息。
/var/log/lastlog
記錄賬號最后一次登陸信息。
/var/log/maillog或/var/log/mail/*
郵件往來記錄。
/var/log/messages
記錄很多信息,系統(tǒng)有問題時(shí)的必查文件。
/var/log/secure
記錄一些賬號登陸信息,如pop3、ssh、telnet、ftp登陸信息。
/var/log/wtmp,/var/log/faillog
成功與失敗登陸的記錄。
/var/log/httpd/*,/var/log/samba/*
一些網(wǎng)絡(luò)服務(wù)產(chǎn)生的日志。
5. syslogd
syslogd是一個(gè)分發(fā)器,它將接收到的所有日志按照/etc/syslog.conf的配置策略發(fā)送到這些日志應(yīng)該去的地方,當(dāng)然也包括從klogd接收到的日志。klogd首先接收內(nèi)核的日志,然后將之發(fā)送給syslogd。syslog函數(shù)原型:
syslog(priority, "%s", string);
二、Rsyslog服務(wù)收集日志
1. Rsyslog服務(wù)說明
Rsyslog是Linux下強(qiáng)大而安全的日志處理系統(tǒng)。
Rsyslog可以單機(jī)運(yùn)行,也可以C/S方式運(yùn)行。
- 單機(jī)模式下,日志信息發(fā)送到本機(jī)的Rsyslog服務(wù)中,Rsyslog服務(wù)將日志記錄到本地存儲中;
- C/S模式下,服務(wù)端和客戶端都啟動Rsyslog進(jìn)程,客戶端向服務(wù)端指定的Rsyslog端口發(fā)送日志。
2. 在Deepin或Ubuntu系統(tǒng)上安裝Rsyslog
# 安裝
sudo apt install rsyslog
rsyslogd -v
# 查看狀態(tài)
systemctl status rsyslog.service
# 重啟
systemctl restart rsyslog.service
# 啟動
systemctl start rsyslog.service
3. rsyslog.service的配置文件
- /etc/rsyslog.conf
2.3.1 配置C/S工作模式
服務(wù)端
配置文件:
vim /etc/rsyslog.conf
#################
#### MODULES ####
#################
# 開啟UDP端口
module(load="imudp")
input(type="imudp" port="514")
# 開啟TCP端口
module(load="imtcp")
input(type="imtcp" port="514")
# 可選配置--用于限制特定子網(wǎng)、IP等的訪問
$AllowedSender TCP, 127.0.0.1, 10.10.10.0/8, *.xiem.com
服務(wù)器端要配置放行指定的端口號。
客戶端
vim /etc/rsyslog.conf
$PreserveFQDN on # 允許主機(jī)名保留FQDN
##Enable sending of logs over UDP add the following line:
# 配置使用UDP發(fā)送消息
*.* @服務(wù)器ip或域名:514 # 添加遠(yuǎn)程RSYSLOG服務(wù)器
##Enable sending of logs over TCP add the following line:
# 配置使用TCP發(fā)送消息
*.* @@服務(wù)器ip或域名:514
# 配置當(dāng)服務(wù)端不在線時(shí)的處理方式:進(jìn)行本地緩存
$ActionQueueFileName queue
$ActionQueueMaxDiskSpace 1g
$ActionQueueSaveOnShutdown on
$ActionQueueType LinkedList
$ActionResumeRetryCount -1
2.3.2 查看日志
ls /var/log/rsyslog-client/
2.3.3 查看服務(wù)端監(jiān)聽的端口
netstat -4altunp | grep 514
三、logrotate 日志管理工具
1. logrotate說明
logrotate是一個(gè)Linux系統(tǒng)日志的管理工具。它可以切割、壓縮等其他軟件的日志文件軟件。logrotate是基于crontab運(yùn)行的,所以這個(gè)時(shí)間點(diǎn)是由crontab控制的,其腳本是/etc/cron.daily/logrotate。Logrotate會調(diào)用配置文件/etc/logrotate.conf。可以在/etc/logrotate.d目錄里放置自定義好的配置文件,用來覆蓋Logrotate的缺省值。
2. centos使用logrotate切分Nginx日志示例:
yum -y install logrotate
查看配置文件位置:
rpm -ql logrotate
其中:
- /etc/logrotate.conf logrotate的配置文件是
- /etc/logrotate.d/ 是用于存儲其他配置文件的目錄
我們主要用它來切分nginx日志。
vim /etc/logrotate.d/nginx
/var/log/nginx/*.log {
daily
rotate 7
missingok
notifempty
dateext
compress
sharedscripts
postrotate
if [ -f /run/nginx.pid ]; then
kill -USR1 `cat /run/nginx.pid`
fi
endscript
}
其中 /var/log/nginx/*.log /run/nginx.pid要以 log位置和nginx.conf里 pid的實(shí)際位置為準(zhǔn)。
- 生產(chǎn)服務(wù)器 pid /var/run/nginx.pid;
- 測試服務(wù)器 pid /run/nginx.pid
手工運(yùn)行:
/usr/sbin/logrotate -f /etc/logrotate.d/nginx
/usr/sbin/logrotate -d -f /etc/logrotate.d/nginx
四、logwatch日志分析工具
logwatch 是一個(gè)Perl編寫的開源日志分析器,可以對原始的日志文件進(jìn)行解析并轉(zhuǎn)換成結(jié)構(gòu)化文檔。
五、logger
在寫bash時(shí)可以用來記錄標(biāo)準(zhǔn)日志信息。
六、阿里云日志服務(wù)
阿里云日志服務(wù)給集中化日志管理提供了一個(gè)新的解決方案。其服務(wù)類似于ELK(Elasticsearch、Kibana 和 Logstash),支持多種數(shù)據(jù)數(shù)據(jù)的接入。
使用此服務(wù)需要在客戶機(jī)安裝阿里的logtail客戶端。支持正則表達(dá)式等多種查詢方式,也支持API接入。
