Linux日志服务管理

一：日志管理：

1.日志介绍：

/var/log/boot.log 系统服务启动的相关信息，文本格式

2.日志的级别：

?3.日志的种类及位置：

3.1系统日志：

/var/log/secure：系统安全信息

/var/log/messages ：系统中大部分的信息

3.2用户登陆日志：

/var/log/btmp：查看用户登陆失败的信息，lastb命令进行查看，last命令可以查看

/var/log/wtmp：哪些用户正常登陆到系统中，可以使用last命令查看

/var/log/lastlog:每一个用户最近一次的登录信息，lastlog命令可以查看

3.3程序日志：

和程序本身有关，有的有独立日志，有的没有独立日志

4.日志的位置：

?5.日志的管理及工具：

5.1 journalctl：

CentOS 7 以后版，利用Systemd 统一管理所有 Unit 的启动日志。带来的好处就是，可以只用journalctl一个命令，查看所有日志（内核日志和应用日志）。

日志的配置文件：

/etc/systemd/journald.conf

journalctl命令格式：

journalctl [OPTIONS...] [MATCHES...]

案例：?

?#查看所有日志（默认情况下 ，只保存本次启动的日志）
?journalctl

?#查看内核日志（不显示应用日志）
?journalctl -k

问题：?

怎么看几点几分到几点几分的日志？

6.?日志的分析：

?二、rsyslog管理：

2.1 系统日志术语：

facility：设施，从功能或程序上对日志进行归类

Priority 优先级别，从低到高排序

参看帮助： man 3 syslog，man logger

?2.2 rsyslog相关文件

- 程序包：rsyslog
- 主程序：/usr/sbin/rsyslogd
- CentOS 6：/etc/rc.d/init.d/rsyslog {start|stop|restart|status}
- CentOS 7,8：/usr/lib/systemd/system/rsyslog.service
- 配置文件：/etc/rsyslog.conf，/etc/rsyslog.d/*.conf
- 库文件： /lib64/rsyslog/*.so?

?2.3rsyslog配置文件

统一收集日志

/etc/rsyslog.conf配置文件格式**：由三部分组成

- MODULES：相关模块配置
- GLOBAL DIRECTIVES：全局配置
- RULES：日志记录相关的规则配置

通常的日志文件的格式：

日志文件有很多，如： /var/log/messages,cron,secure等，基本格式都是类似的。格式如下：

?2.4?实际操作，将ssh服务的日志单独设置：

#查看ssh服务的日志位置

#修改ssh配置文件，32下一行添加自己的自定义
33 SyslogFacility LOCAL6

?

?#vim /etc/rsyslog.conf
#76 行添加自己的文件位置

?#重启服务

?#查看

?2.5网络日志（远程日志功能）：

192.168.91.100——》192.168.91.101

1.关闭防火墙

2.在192.168.91.100和192.168.91.101共同设置：

?3.在192.168.91.100上操作

4.检验：

三：inode和block的概述：

文件数据包包括元信息与实际数据

文件存储在硬盘上，硬盘最小存储单位是“扇区”，每个扇区存储512字节

1.inode（索引节点）：

• 中文名“索引节点”，也叫i节点
• 用于存储文件源信息

inode 包含文件的元信息

• 文件的字节数

• 文件的拥有者的UserID

• 文件的GroupID

• 文件的读、写、执行权限

• 文件的时间戳

• 文件类型

• 链接数

• 有关文件的其他数据

注意：inode不包含文件名

stat ：

用stat命令，查看某个文件的 inode 信息

?三个时间戳：

更改最好用mtime

inode号：在同一个设备上是唯一的

inode号是有限资源，它的多少和磁盘大小有关

问题：我磁盘空间还剩很多但是无法继续建立文件？

inode号用完了

lvm扩容

普通分区，删除没有用的空文件

?根据文件夹的文件名和indoe号的关系，找到对应的inode表（属主属组）当中的指针找到磁盘上的真实数据

2.block（块）：

• 连续的八个扇区组成一个block（4K）
• 是文件存取的最小单位

du：查看占用磁盘大小

ls：查看占用文件的真实大小