当前位置：首页 > news >正文

linux-日志服务

news 2025/7/23 6:47:29

linux-日志服务

一、rsyslog
- 1. 配置文件
- 2. 消息级别
- 3. 设备类型
二、日志轮转
- 1. 主配置文件
- 2. 配置日志轮转功能
- 3. 结合cron使用
总结

一、rsyslog

rsyslog 是 Linux/Unix 系统上的一款高性能、模块化的日志管理服务，用于收集、处理、过滤和转发系统日志及应用程序日志。支持多种协议（如 TCP/UDP/TLS）、数据库存储（MySQL/PostgreSQL）、远程日志转发等高级功能

rsyslogd 是linux系统内部的一个专门记录日志的服务 --》程序

rsyslog daemon 守护进程：一直在运行的程序，随时都可以访问

[root@rocky-1 rsyslog.d]# ps aux|grep rsyslog
root 931 0.0 0.2 164880 17408 ? Ssl 09:21 0:01 /usr/sbin/rsyslogd -n
root 1655 0.0 0.0 6636 2176 pts/0 S+ 11:10 0:00 grep --color=auto rsyslog

1. 配置文件

/etc/rsyslog.conf

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

设备类型.消息级别

修改sshd_config 配置文件

[root@rocky-1 rsyslog.d]# vim /etc/ssh/sshd_config
# Logging
SyslogFacility AUTH
LogLevel INFO
[root@rocky-1 rsyslog.d]# service sshd restart

rsyslog根据sshd的要求记录日志

[root@rocky-1 rsyslog.d]# vim /etc/rsyslog.conf
auth,authpriv.* /var/log/ssh.log
[root@rocky-1 rsyslog.d]# service rsyslog restart
Redirecting to /bin/systemctl restart rsyslog.service

2. 消息级别

数值	级别名称	含义说明	典型场景
0	emerg	系统不可用（最高级别）	系统崩溃、严重硬件故障 emergency
1	alert	需要立即采取行动	关键服务停止、磁盘满 alert
2	crit	严重错误	数据库崩溃、认证失败 critcal
3	err	一般错误（不影响系统运行）	服务启动失败、网络连接超时 error
4	warning	警告信息	磁盘空间不足（未满）、配置参数已过期
5	notice	正常但重要的事件（默认记录级别）	用户登录、服务正常启动
6	info	一般信息（调试或运行日志）	请求处理完成、状态变更 information
7	debug	调试信息（最低级别，通常不记录）	开发阶段的详细日志

mail.info 记录info以上级别的日志，包括info

mail.none 排除所有来自 mail 设备的日志（无论级别）

*.info;mail.none;authpriv.none;cron.none                /var/log/messages
# /var/log/messages 会记录绝大多数的程序的日志

	优先级匹配规则
*	匹配所有设备和级别
none	排除指定设备（如 mail.none）
=	精确匹配（如 =error 仅匹配 err 级别）
!	否定匹配（如 !info 排除 info 级别）

3. 设备类型

数值	关键字	说明	典型日志来源
0	kern	内核消息	内核启动日志、硬件驱动错误 kernel —》`推荐`
1	user	用户级程序消息（默认值）	普通应用程序日志
2	mail	邮件系统	Postfix、Sendmail 的收发日志 —》`推荐`
3	daemon	系统守护进程	Nginx、MySQL、Rsyslog 自身的日志
4	auth	安全/认证日志	SSH 登录、sudo 命令、PAM 认证 —》`推荐`
5	syslog syslogd	内部日志	Rsyslog 自身的调试信息
6	lpr	打印系统	CUPS 打印服务日志
7	news	新闻组系统（已废弃）	极少使用
8	uucp	UUCP 系统	（历史遗留）几乎不用
9	cron	计划任务	cron 作业执行日志 --》`推荐`
10	authpriv	私有认证日志（更敏感）	sudo 的详细审计日志
11	ftp	FTP 服务	vsftpd、ProFTPD 日志
12	ntp	时间同步服务	NTP 或 chrony 日志
13	security	安全事件（部分系统等同于 auth）	SELinux 审计日志
14	console	控制台输出	物理终端消息
15	solaris-cron	Solaris 的 cron（Linux 通常用 cron）	兼容性字段
16	local0	自定义日志（0-7）	常用于第三方应用（如 HAProxy、Nginx 自定义日志）
…	local1-7	保留给用户自定义	数据库、中间件等专用日志

二、日志轮转

日志文件会随时间不断增大，会占用大量磁盘空间，因此需要日志轮转（自动切割、压缩、删除旧日志）

日志轮转功能 logrotate --》定期去产生一个新的日志文件，将旧的日志文件保存

1. 主配置文件

/etc/logrotate.conf

[root@rocky-2 log]# cat /etc/logrotate.conf
# see “man logrotate” for details

# global options do not affect preceding include directives

# rotate log files weekly 每周执行一次
weekly

# keep 4 weeks worth of backlogs 保留4个日志文件
rotate 4

# create new (empty) log files after rotating old ones 创建空文件做为新的日志文件
create

# use date as a suffix of the rotated file 加日期后缀
dateext

# uncomment this if you want your log files compressed 压缩功能
compress

# packages drop log rotation information into this directory 加载次要的配置文件
include /etc/logrotate.d

# system-specific logs may be also be configured here.

2. 配置日志轮转功能

案例 - > 给monitor_nginx.log配置日志轮转功能

查看 nginx 日志的 logrotate 配置文件

[root@rocky-2 log]# cat /etc/logrotate.d/nginx
/var/log/nginx/*.log {create 0640 nginx rootdailyrotate 10missingok   作用：如果日志文件不存在，不报错，直接跳过。notifempty   作用：如果日志文件为空（0 字节），不进行轮转。compresssharedscriptspostrotate/bin/kill -USR1 `cat /run/nginx.pid 2>/dev/null` 2>/dev/null || trueendscript
}

给monitor_nginx.log配置日志轮转

[root@rocky-2 logrotate.d]# cd /etc/logrotate.d
[root@rocky-2 logrotate.d]#vim  monitor_nginx  
/var/log/monitor_nginx.log
{missingoksharedscriptspostrotate/usr/bin/systemctl -s HUP kill rsyslog.service >/dev/null 2>&1 || trueendscript
}

调整下时间