日志分为两种:1.应用程序日志2.系统日志

 存放目录:/var/log

/var/log/messages:记录系统发生的所有信息文件;

/var/log/maillog:记录邮件收发信息

/var/log/dmesg:记录系统启动的时候内核所检测和各种硬件信息

/var/log/secure:记录操作系统中的所有登录与身份验证相关的安全信息

/var/log/audit/audit.log:记录系统审讯相关的信息

/var/log/cron:记录计划任务的信息

应用程序守护进程命名的日志记录:/var/log/httpd、/var/log/samba、/var/log/cups、/var/log/squid

----------------配置文件地址/etc/syslog.conf

计算机日志由syslogd与klogd这两个守护进程集中管理,配置文件:/etc/sysconfig/syslog

 

[root@szm ~]# ps aux | grep syslog

root      2487  0.0  0.2  36048  1084 ?        Sl   06:48   0:00 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5

root      2637  0.0  0.0   2188   340 ?        Ss   06:48   0:00 /usr/sbin/fcoemon --syslog

szm       3630  0.0  0.6 102588  3356 ?        S<sl 06:49   0:09 /usr/bin/pulseaudio --start --log-target=syslog

root      9891  0.0  0.1   4360   748 pts/0    S+   13:28   0:00 grep syslog

[root@szm ~]# grep "^[^#]" /etc/rsyslog.conf

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command)

$ModLoad imklog   # provides kernel logging support (previously done by rklogd)

$ModLoad imudp

$UDPServerRun 516

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

$IncludeConfig /etc/rsyslog.d/*.conf

*.info;mail.none;authpriv.none;cron.none                /var/log/messages

authpriv.*                                              /var/log/secure

mail.*                                                  -/var/log/maillog

cron.*                                                  /var/log/cron

*.emerg                                                 *

uucp,news.crit                                          /var/log/spooler

local7.*                                                /var/log/boot.log

 

 服务名称:

auth,authpriv        负责用户授权认证与敏感信息的授权与安全

cron                 记录计划任务服务

daemon               与单一进程相关信息

kern                 记录内核信息

lpr                  记录打印服务相关的信息

mail                 记录与邮件相关的信息

news                 记录新闻组相关信息

syslog,user,ucp      记录syslog进程本身的信息

local0--local7       记录默认

*                    记录所有

 事件优先级:

debug:          记录应用程序调试信息

info:           应用程序服务的基本说明

notic:          包含info信息之外的信息内容

warning,warn:   警告信息,可能会影响到进程的执行

err,error:      记录系统的重大错误信息,如服务不能启动

crit:           比error还严重的信息,此级别的错误表示系统已经到了临界点了,会影                  响系统的安全性

alert:          严重警告,比临界点还要严重的信息,提示用户应该立即的问题

emerg,panic:     系统已经崩溃

none:           不记录任何日志

[root@szm ~]# /etc/init.d/rsyslog restart

Shutting down system logger:                               [  OK  ]

Starting system logger:                                    [  OK  ]

[root@szm ~]# service rsyslog restart

Shutting down system logger:                               [  OK  ]

Starting system logger:                                    [  OK  ]

[root@szm ~]# cat /etc/sysconfig/rsyslog 

# Options for rsyslogd

# Syslogd options are deprecated since rsyslog v3.

# If you want to use them, switch to compatibility mode 2 by "-c 2"

# See rsyslogd(8) for more details

SYSLOGD_OPTIONS="-c 5"-------------远程日志管理功能

日志轮循管理:
 
 为了控制日志文件的大小及提高磁盘利用率,操作系统为日志专门设计了自动维护机制:logroate,配置文件:/etc/logroate.conf

[root@szm ~]# cat /etc/logrotate.conf 

# see "man logrotate" for details

# rotate log files weekly

weekly-----------------轮循时间间隔

 

# keep 4 weeks worth of backlogs

rotate 4---------------轮循次数

 

# create new (empty) log files after rotating old ones

create------------------定义默认的轮循动作:创建空文件

 

# use date as a suffix of the rotated file

dateext

 

# uncomment this if you want your log files compressed

#compress------------------------是否对日志文件进行压缩

 

# RPM packages drop log rotation information into this directory

include /etc/logrotate.d----------轮循机制要控制哪些日志文件

 

# no packages own wtmp and btmp -- we'll rotate them here

/var/log/wtmp {-----------wtmp日志文件的轮循机制

    monthly---------------轮循时间间隔为一个月

    create 0664 root utmp-----指定日志文件的权限

minsize 1M------------规定日志文件增添到1M时轮循

    rotate 1------------------日志文件轮循1次

}

 

/var/log/btmp {

    missingok

    monthly

    create 0600 root utmp

    rotate 1

}

 

# system-specific logs may be also be configured here.

[root@szm logrotate.d]# ll /etc/logrotate.d/
(用来执行具有不同功能的日志轮循策略)
total 60
-rw-r--r--. 1 root root  71 Mar  1 17:41 cups
-rw-r--r--. 1 root root 103 Feb 22 13:03 dracut
-rw-r--r--. 1 root root 185 Dec  5 16:59 httpd
-rw-r--r--. 1 root root 173 Feb 22 09:14 iscsiuiolog
-rw-r--r--. 1 root root 165 Feb 22 14:33 libvirtd
-rw-r--r--. 1 root root 162 Feb 22 14:33 libvirtd.lxc
-rw-r--r--. 1 root root 136 Aug 23  2010 ppp
-rw-r--r--. 1 root root 329 Jul 17  2012 psacct
-rw-r--r--. 1 root root  68 Aug 23  2010 sa-update
-rw-r--r--. 1 root root 219 Feb 23 06:35 sssd
-rw-r--r--. 1 root root 210 Jan 10 00:43 syslog
-rw-r--r--. 1 root root 133 Feb 22 13:42 tomcat6
-rw-r--r--. 1 root root 188 Mar  1 18:15 vsftpd
-rw-r--r--. 1 root root 100 Feb  4 20:50 wpa_supplicant
-rw-r--r--. 1 root root 100 Feb 22 19:26 yum
[root@szm logrotate.d]# cat httpd 
/var/log/httpd/*log {
    missingok
---------如果文件不存在,返回一个错误信息
    notifempty
--------不轮循空的日志文件
    sharedscripts
    delaycompress
    postrotate
        /sbin/service httpd reload > /dev/null 2>/dev/null || true
    endscript
}
[root@szm logrotate.d]# logrotate --help
Usage: logrotate [OPTION...] <configfile>
  -d, --debug               Don't do anything, just test (implies -v)
  -f, --force               Force file rotation
  -m, --mail=command        Command to send mail (instead of `/bin/mail')
  -s, --state=statefile     Path of state file
  -v, --verbose             Display messages during rotation
 
Help options:
  -?, --help                Show this help message
  --usage                   Display brief usage message
 
[root@szm logrotate.d]# logrotate -vf /etc/logrotate.conf 
 

[root@szm logrotate.d]# ll /var/log/messages*

-rw-------. 1 root root    543 Mar 13 14:31 /var/log/messages

-rw-------. 1 root root 291977 Feb 28 16:44 /var/log/messages-20130228

-rw-------. 1 root root  12566 Mar  4 17:27 /var/log/messages-20130304

-rw-------. 1 root root 232879 Mar 11 13:23 /var/log/messages-20130311

-rw-------. 1 root root 709007 Mar 13 14:30 /var/log/messages-20130313