RHCE_RHEL6_135 U15 分析和存储日志

RHCE_RHEL6_135 U15 分析和存储日志

许多程序使用标准协议向syslogd发送消息。每条消息都有级别描述。这些严重级别使用标准化。rhel5与rhel6的syslog完全不一样。

rhel5日志的配置文件：/etc/syslog.conf；运行程序是：syslog

rhel6日志的配置文件：/etc/rsyslog.conf  运行程序是：rsyslog

基本概念：日志文件相当的重要，因为：

什么时间。。。什么主机。。。什么服务。。。出现了什么情况。

根据日志排错！！！

日志存储：本地/var/log中；远程日志服务器。

一、本地日志管理

日志的配置文件：/etc/rsyslog.conf；

日志文件格式：

实例：

Tail

二、远程日志服务：

1.采用udp传送log：

2.采用tcp传送log：

三、日志轮循（轮转）：logrotate

① 轮转日志，以避免日志占满包含/var/log/的文件系统；

② 轮转日志时，使用扩展名对其进行重命名，扩展名中指示轮转日期；

③ 轮转原日志之后，分创建新日志文件，并通知对它执行写操作的服务；

④ 轮转若干次之后（通常在4周之后），丢弃原日志文件以节省磁盘空间；

⑤ cron作业每天运行一次logrotate程序，查看是否有任何日志需要轮转；

⑥ 大多数日志每周轮转一次，但是logrotate轮转文件的速度时快时慢，或在文件达到特定大小时进行轮转。

主要功能就是将旧的日志文件移动成旧的文件，并且重新建一个空文件来记录。

自已创建一个日志轮循：

发现一个问题：突然有一天，vim /var/log/admin.log,被锁住了，不轮循了。chattr +a /var/log/admin.log 表示只读的,不能vim 不能重命名。

四、定位和分析日志汇总报告：logwatch

安装logwatch。它能自动分析标准日志文件，并向root发送汇总电子邮件。检查系统状态的一种便捷方法是阅读此汇总报告。

①  logwatch作为每日cron作业运行，以生成相关日志信息的报告。默认情况下，此报告通过电子邮件发送到本地root。如果要手动生成logwatch电子邮件，只需运行logwatch。

② /etc/logwatch/conf/logwatch.conf是一个空文件，包含本地logwatch设置。logwatch的系统范围默认设置保存在:

/usr/share/logwatch/default.conf/logwatch.conf中。

③通常是编辑/etc中的文件，而不是/usr/share中的默认文件。MailTo元素获取要将logwatch报告发送的电子邮件地址：默认情况下，logwatch使用root@logwahtch。如果想要student@server34.example.com接收这些邮件，则向/etc/logwatch/conf/logwatch.conf文件添加以下行：

五、清理垃圾tmpwatch作业: