瞭解

日誌檔案記錄了時間，地點，人物，事件四大資訊，故系統出現故障時，可以查詢日誌檔案。
系統的日誌檔案預設都集中放置到/var/log/目錄內，其中又以message記錄的資訊最多。
日誌檔案的重要性主要體現在以下三方面：

解決系統方面的錯誤
解決網路服務的問題
過往事件記錄

日誌檔案的許可權通常是設定為root能夠讀取而已。由於日誌檔案可以記載系統很多的詳細資訊，所以一個有經驗的主機管理員會隨時隨地查閱自己的日誌檔案，以掌握系統的最新動態。

注意：系統斷電沒日誌。

版本

rhel-server-5.4

sysklogd 5版本的包名
    syslogd: system application 記錄應用日誌 
    klogd: linux kernel 記錄核心日誌

事件記錄格式：日期時間 主機 程序[pid]:  事件內容
C
 
/S架構：通過TCP或UDP協議的服務完成日誌記錄傳送，將分佈在不同主機的日誌實現集中管理

CentOS 6~7

centos6 
[[email protected] ~]#ps aux |grep syslog   
root       1654  0.0  0.1 249160  1680 ?        Sl   20:28   0:00 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5
root       2381  0.0  0.0 103336   852 pts/0    S+   20:38   0:00 grep syslog
[[email protected]
 
 ~]#which rsyslogd        
/sbin/rsyslogd
[[email protected] ~]#rpm -qf /sbin/rsyslogd
rsyslog-5.8.10-10.el6_6.x86_64
[[email protected] ~]#yum info rsyslog-5.8.10-10.el6_6.x86_64
Loaded plugins: fastestmirror, refresh-packagekit, security
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun
 
.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
Installed Packages
Name        : rsyslog
Arch        : x86_64
Version     : 5.8.10
Release     : 10.el6_6
Size        : 2.1 M
Repo        : installed
From repo   : anaconda-CentOS-201703281317.x86_64
Summary     : Enhanced system logging and kernel message trapping daemons
URL         : http://www.rsyslog.com/
License     : (GPLv3+ and ASL 2.0)
Description : Rsyslog is an enhanced, multi-threaded syslog daemon. It supports MySQL,
            : syslog/TCP, RFC 3195, permitted sender lists, filtering on any message part,
            : and fine grain output format control. It is compatible with stock sysklogd
            : and can be used as a drop-in replacement. Rsyslog is simple to set up, with
            : advanced features suitable for enterprise-class, encryption-protected syslog
            : relay chains.
centos7
[[email protected] ~]#ps aux |grep rsyslogd
root        606  0.0  0.1 216392  4380 ?        Ssl  20:00   0:00 /usr/sbin/rsyslogd -n
root       3586  0.0  0.0 112664   976 pts/0    S+   20:32   0:00 grep --color=auto rsyslogd

[[email protected] ~]#which rsyslogd                       
/usr/sbin/rsyslogd

[[email protected] ~]#rpm -qf /usr/sbin/rsyslogd           
rsyslog-8.24.0-12.el7.x86_64

[[email protected] ~]#yum info rsyslog-8.24.0-12.el7.x86_64
Loaded plugins: fastestmirror, langpacks
Loading mirror speeds from cached hostfile
 * base: mirrors.aliyun.com
 * epel: mirrors.aliyun.com
 * extras: mirrors.aliyun.com
 * updates: mirrors.aliyun.com
Installed Packages
Name        : rsyslog
Arch        : x86_64
Version     : 8.24.0
Release     : 12.el7
Size        : 1.9 M
Repo        : installed
From repo   : anaconda
Summary     : Enhanced system logging and kernel message trapping daemon
URL         : http://www.rsyslog.com/
License     : (GPLv3+ and ASL 2.0)
Description : Rsyslog is an enhanced, multi-threaded syslog daemon. It supports MySQL,
            : syslog/TCP, RFC 3195, permitted sender lists, filtering on any message part,
            : and fine grain output format control. It is compatible with stock sysklogd
            : and can be used as a drop-in replacement. Rsyslog is simple to set up, with
            : advanced features suitable for enterprise-class, encryption-protected syslog
            : relay chains.

rsyslog CentOS 6~7版本的包名
rsyslog特性:
    多執行緒
    支援UDP, TCP, SSL, TLS, RELP
    支援MySQL, PGSQL, Oracle實現日誌儲存
    強大的過濾器，可實現過濾記錄日誌資訊中任意部分
    自定義輸出格式
ELK：elasticsearch, logstash, kibana(日誌分析系統，三款開源產品名稱的首字母集合)
    Elasticsearch是個開源分散式搜尋引擎
    Logstash對日誌進行收集、分析，並將其儲存供以後使用
    kibana 可以提供的日誌分析友好的Web介面
    非關係型分散式資料庫
    基於apache軟體基金會jakarta專案組的專案lucene

主要內容

以下主要介紹的是rsyslog

術語，參見man logger
    facility：設施，從功能或程式上對日誌進行歸類
        auth       #驗證 已棄用使用
        authpriv   #授權
        cron       #計劃任務
        daemon     #守護程序
        ftp 
        kern 
        lpr        #列印 
        mail 
        news
        security(auth)  #安全
        user
        uucp
        local0-local7   #自定義
        syslog
    Priority 優先級別，從低到高排序
        debug          #適用於除錯什麼都記錄
        info           #記錄相對重要的
        notice         #重要通知    
        warn(warning)  #警報快出錯
        err(error)     #報錯
        crit(critical) #臨界
        alert          #警覺的
        emerg(panic)   #徹底崩潰了   
例：如果是info(它包括notice, warn(warning), err(error), crit(critical), alert, emerg(panic))，只記錄優先順序高的，不記錄優先順序低的
參看幫助：man 3 syslog

程式包、配置檔案

程式包：rsyslog
主程式：/usr/sbin/rsyslogd
CentOS 6：service rsyslog{start|stop|restart|status}
CentOS 7：/usr/lib/systemd/system/rsyslog.service
配置檔案：/etc/rsyslog.conf，/etc/rsyslog.d/*.conf
庫檔案：/lib64/rsyslog/*.so 
配置檔案格式：由三部分組成
    MODULES：相關模組配置
    GLOBAL DIRECTIVES：全域性配置
    RULES：日誌記錄相關的規則配置
日誌滾動配置檔案：/etc/logrotate.d/syslog 

RULES格式

RULES配置格式：
    facility.priority facility.priority... target
facility：
    *: 所有的facility  
    facility1,facility2,facility3,...：指定的facility列表
priority：
    *: 所有級別
    none：沒有級別，即不記錄
    PRIORITY：指定級別（含）以上的所有級別
    =PRIORITY：僅記錄指定級別的日誌資訊
target：
    檔案路徑：通常在/var/log/，檔案路徑前的"-"表示非同步寫入
    使用者：將日誌事件通知給指定的使用者，* 表示登入的所有使用者
    日誌伺服器：@host，把日誌送往至指定的遠端伺服器記錄
    管道：| COMMAND，轉發給其它命令處理

rsyslog.conf詳解

# rsyslog v5 configuration file

# For more information see /usr/share/doc/rsyslog-*/rsyslog_conf.html
# If you experience problems, see http://www.rsyslog.com/doc/troubleshoot.html

#### MODULES #### # 模組

$ModLoad imuxsock # provides support for local system logging (e.g. via logger command) # 支援本地系統日誌記錄（例如通過logger命令）
$ModLoad imklog   # provides kernel logging support (previously done by rklogd) # 提供核心日誌記錄支援（以前由rklogd完成）
#$ModLoad immark  # provides --MARK-- message capability # 提供了--MARK--訊息功能

# Provides UDP syslog reception # 提供UDP系統日誌接收
#$ModLoad imudp
#$UDPServerRun 514

# Provides TCP syslog reception # 提供TCP系統日誌接收
#$ModLoad imtcp
#$InputTCPServerRun 514


#### GLOBAL DIRECTIVES #### # 全域性設定

# Use default timestamp format # 使用預設的時間戳格式
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# File syncing capability is disabled by default. This feature is usually not required, # 檔案同步功能預設是關閉的。這個功能通常不是必需的
# not useful and an extreme performance hit
#$ActionFileEnableSync on

# Include all config files in /etc/rsyslog.d/ # 將所有配置檔案包含在/etc/rsyslog.d/中
$IncludeConfig /etc/rsyslog.d/*.conf


#### RULES #### # 規則

# Log all kernel messages to the console. # 將所有核心訊息記錄到控制檯 
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher. # 記錄級別資訊或更高級別的任何資訊（郵件除外）
# Don't log private authentication messages! # 不要記錄私人認證資訊！
*.info;mail.none;authpriv.none;cron.none                /var/log/messages
# 記錄info級別的日誌資訊 排除mail authpriv cron
# The authpriv file has restricted access. # authpriv檔案具有受限制的訪問許可權。
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place. # 將所有的郵件記錄在一個地方。
mail.*                                                  -/var/log/maillog
# -/var/log/maillog 前面"-"是：代表非同步寫入,郵件量大佔I/O在系統不忙時做

# Log cron stuff # 日誌計劃任務的東西
cron.*                                                  /var/log/cron

# Everybody gets emergency messages # 每使用者都得到緊急訊息
*.emerg                                                 *

# Save news errors of level crit and higher in a special file.
uucp,news.crit                                          /var/log/spooler

# Save boot messages also to boot.log  # 將啟動資訊儲存到boot.log 只記錄當前系統啟動日誌
local7.*                                                /var/log/boot.log


# ### begin forwarding rule ### # 開始轉發規則
# The statement between the begin ... end define a SINGLE forwarding
# rule. They belong together, do NOT split them. If you create multiple
# forwarding rules, duplicate the whole block!
# Remote Logging (we use TCP for reliable delivery)
#
# An on-disk queue is created for this action. If the remote host is
# down, messages are spooled to disk and sent when it is up again.
#$WorkDirectory /var/lib/rsyslog # where to place spool files
#$ActionQueueFileName fwdRule1 # unique name prefix for spool files
#$ActionQueueMaxDiskSpace 1g   # 1gb space limit (use as much as possible)
#$ActionQueueSaveOnShutdown on # save messages to disk on shutdown
#$ActionQueueType LinkedList   # run asynchronously
#$ActionResumeRetryCount -1    # infinite retries if host is down
# remote host is: name/ip:port, e.g. 192.168.0.1:514, port optional
#*.* @@remote-host:514
# ### end of the forwarding rule ### 轉發規則結束

舉例：以sshd服務為例：

[root@centos6 ~]#vim /etc/ssh/sshd_config
SyslogFacility AUTHPRIV 
# /etc/ssh/sshd_config 檔案36行處sshd定義AUTHPRIV -> facility
# 而facility 在 /etc/rsyslog.conf 檔案45行處 定義了級別
[root@centos6 ~]#vim /etc/rsyslog.conf
authpriv.*                               /var/log/secure
# 所以/var/log/secure此檔案裡面定義了sshd的日誌

sshd服務單獨放單到一個檔案中
先修改/etc/rsyslog.conf #約62行
[root@centos6 ~]#vim /etc/rsyslog.conf
local7.*                               /var/log/boot.log
local0.*                               /var/log/sshd.log 
# 這裡需確定local0沒人用

之後修改此檔案 /etc/ssh/sshd_config

[root@centos6 ~]#vim /etc/ssh/sshd_config
SyslogFacility AUTHPRIV 
# SyslogFacility local0 (AUTHPRIV 修改為local0  即可 )

最後重新啟動rsyslog sshd服務即可

測試工具logger

給單獨使用者發訊息
先修改/etc/rsyslog.conf #約62行
[root@centos6 ~]#vim /etc/rsyslog.conf
local7.*                               /var/log/boot.log
local0.*                               zhang,root 
[root@centos6 ~]#logger -p local0.info "This is a test log" 
# 執行此命令root和zhang都能收到This is a test log訊息，前提是線上
# zhang,root換成"*" 是通知所有線上的使用者

日誌的遠端儲存

通常的日誌格式：
    事件產生的日期時間 主機 程序(pid)：事件內容 
    如：/var/log/messages,cron,secure等

配置rsyslog成為日誌伺服器
#### MODULES ####
# Provides UDP syslog reception
$ModLoadimudp
$UDPServerRun514

# Provides TCP syslog reception
$ModLoadimtcp
$InputTCPServerRun514

UDP

現在準備兩臺虛擬機器，為了區分一個是 centos 6一個是 centos 7
目的：把centos 6 日誌 遠端記錄到 centos 7 中

centos 7 上操作開啟 udp514埠

注意伺服器的防火牆別遮蔽
    iptables -vnL # 檢視防火牆 
    iptables -F   # 這裡我們把它清空
[root@centos7 ~]#vim /etc/rsyslog.conf
$ModLoad imudp                                                                              
$UDPServerRun 514
# 15~16行去掉註釋 開啟udp514埠
# systemctl restart rsyslog # 重新啟動rsyslog 
# ss -ntlpu |grep 514  #檢視是否開啟udp514埠

centos 6上操作

先修改/etc/rsyslog.conf #約42行
[root@centos6 ~]#vim /etc/rsyslog.conf
*.info;mail.none;authpriv.none;cron.none     /var/log/messages
*.info;mail.none;authpriv.none;cron.none      @172.18.2.232   
# /var/log/messages 路徑修改為目標主機@172.18.2.232
# systemctl restart rsyslog # 重新啟動rsyslog 
# 效果是本地存一份 遠端主機172.18.2.232存一份

centos 7 先開啟監控/var/log/messages這個檔案
[root@centos7 ~]#tail -f /var/log/messages

centos 6 測試日誌
[root@centos6 ~]#logger "This is a test log"

測試成功
[root@centos7 ~]#tail -f /var/log/messages
Feb  1 15:27:29 centos6 root: This is a test log
[root@centos6 ~]#tail -f /var/log/messages
Feb  1 15:27:29 centos6 root: This is a test log

TCP

只修改一處@172.18.2.232改為@@172.18.2.232即可

centos 6上操作

先修改/etc/rsyslog.conf #約42行
[root@centos6 ~]#vim /etc/rsyslog.conf
*.info;mail.none;authpriv.none;cron.none     /var/log/messages
*.info;mail.none;authpriv.none;cron.none     @@172.18.2.232   

systemctl restart rsyslog # 重新啟動rsyslog 
[root@centos6 ~]#logger "This is a test log"
與UDP步驟一樣

其他日誌

路徑	描述
/var/log/secure	系統安裝日誌，文字格式，應週期性分析 例：使用者登入
/var/log/btmp	當前系統上，使用者的失敗嘗試登入相關的日誌資訊，二進位制格式，lastb命令進行檢視
/var/log/wtmp	當前系統上，使用者正常登入系統的相關日誌資訊，二進位制格式，last命令可以檢視
/var/log/lastlog	每一個使用者最近一次的登入資訊，二進位制格式，lastlog命令可以檢視
/var/log/dmesg	系統引導過程中的日誌資訊例：插入U盤等硬體資訊 文字格式文字 檢視工具檢視或者專用命令dmesg檢視
/var/log/messages	系統中大部分的資訊
/var/log/anaconda	anaconda的日誌 在centos6 /var/log/anaconda.log在centos7 /var/log/anaconda/anaconda.log

常用命令

lastb命令檢視使用者登入失敗資訊
last命令檢視使用者登入成功資訊 （也有系統啟動多長時間）
lastlog命令檢視每一個使用者最近一次的登入資訊
dmesg檢視系統引導過程中的日誌資訊

檢視系統啟動多長時間
[root@centos7 ~]#uptime 
 16:10:59 up  4:34,  1 user,  load average: 0.00, 0.01, 0.05

系統啟動開始時間
[root@centos7 ~]#ll /var/log/boot.log  
-rw-------. 2 root root 27581 Feb  1 16:15 /var/log/boot.log

可以檢視到啟動資訊(比如rsyslogd就可以看到開始啟動時間)
[root@centos7 ~]#grep rsyslogd /var/log/messages
Feb  1 16:14:57 centos7 rsyslogd: [origin software="rsyslogd" swVersion="8.24.0" x-pid="600" x-info="http://www.rsyslog.com"] start

日誌管理命令

Systemd統一管理所有Unit 的啟動日誌。帶來的好處就是，可以只用journalctl一個命令，檢視所有日誌（核心日誌和應用日誌）。
日誌的配置檔案/etc/systemd/journald.conf

journalctl用法

檢視所有日誌（預設情況下，只儲存本次啟動的日誌）

journalctl

檢視核心日誌（不顯示應用日誌）

journalctl -k

檢視系統本次啟動的日誌

journalctl -b
journalctl -b -0

檢視上一次啟動的日誌（需更改設定）

journalctl -b -1

檢視指定時間的日誌

journalctl --since="2017-10-30 18:10:30"
journalctl --since "20 min ago"
journalctl --since yesterday
journalctl --since "2017-01-10" --until "2017-01-11 03:00"
journalctl --since 09:00 --until "1 hour ago"

顯示尾部的最新10行日誌

journalctl -n

顯示尾部指定行數的日誌

journalctl -n 20

實時滾動顯示最新日誌

journalctl -f

檢視指定服務的日誌

journalctl /usr/lib/systemd/systemd

檢視指定程序的日誌

journalctl _PID=1

檢視某個路徑的指令碼的日誌

journalctl /usr/bin/bash

檢視指定使用者的日誌

journalctl _UID=33 --since today

檢視某個Unit 的日誌

journalctl -u nginx.service
journalctl -u nginx.service --since today

實時滾動顯示某個Unit 的最新日誌

journalctl -u nginx.service -f

合併顯示多個Unit 的日誌

journalctl -u nginx.service -u php-fpm.service --since today

檢視指定優先順序（及其以上級別）的日誌，共有8級
0: emerg
1: alert
2: crit
3: err
4: warning
5: notice
6: info
7: debug
    journalctl -p err -b

日誌預設分頁輸出，–no-pager 改為正常的標準輸出

journalctl --no-pager 

以JSON 格式（單行）輸出

journalctl -b -u nginx.service -o json

以JSON 格式（多行）輸出，可讀性更好

journalctl -b -u nginx.serviceqq -o json-pretty

顯示日誌佔據的硬碟空間

journalctl --disk-usage

指定日誌檔案佔據的最大空間

journalctl --vacuum-size=1G

指定日誌檔案儲存多久

journalctl --vacuum-time=1years

下面還有兩篇文章