linux系统日志设置
为何我更喜欢 SystemV
我更喜欢 SystemV,因为它更开放。使用 Bash 脚本来完成启动。内核启动 init
程序(这是一个编译后的二进制)后,init
启动 rc.sysinit
脚本,该脚本执行许多系统初始化任务。rc.sysinit
执行完后,init
启动 /etc/rc.d/rc
脚本,该脚本依次启动 /etc/rc.d/rcX.d
中由 SystemV 启动脚本定义的各种服务。其中 X
是待启动的运行级别号。
除了 init
程序本身之外,所有这些程序都是开放且易于理解的脚本。可以通读这些脚本并确切了解整个启动过程中发生的事情,但是我不认为有太多系统管理员真正做到这一点。每个启动脚本都被编了号,以便按特定顺序启动预期的服务。服务是串行启动的,一次只能启动一个服务。
systemd 是由 Red Hat 的 Lennart Poettering 和 Kay Sievers 开发的,它是一个由大型的、编译的二进制可执行文件构成的复杂系统,不访问其源码就无法理解。它是开源的,因此“访问其源代码”并不难,只是不太方便。systemd 似乎表现出对 Linux 哲学多个原则的重大驳斥。作为二进制文件,systemd 无法被直接打开供系统管理员查看或进行简单更改。systemd 试图做所有事情,例如管理正在运行的服务,同时提供明显比 SystemV 更多的状态信息。它还管理硬件、进程、进程组、文件系统挂载等。systemd 几乎涉足于现代 Linux 主机的每个方面,使它成为系统管理的一站式工具。所有这些都明显违反了“程序应该小,且每个程序都应该只做一件事并做好”的原则。
为何我更喜欢 systemd
我更喜欢用 systemd 作为启动机制,因为它会根据启动阶段并行地启动尽可能多的服务。这样可以加快整个的启动速度,使得主机系统比 SystemV 更快地到达登录屏幕。
systemd 几乎可以管理正在运行的 Linux 系统的各个方面。它可以管理正在运行的服务,同时提供比SystemV 多得多的状态信息。它还管理硬件、进程和进程组、文件系统挂载等。systemd 几乎涉足于现代 Linux 操作系统的每方面,使其成为系统管理的一站式工具。(听起来熟悉吧?)
systemd 工具是编译后的二进制文件,但该工具包是开放的,因为所有配置文件都是 ASCII 文本文件。可以通过各种 GUI 和命令行工具来修改启动配置,也可以添加或修改各种配置文件来满足特定的本地计算环境的需求。
作为 1 号进程的 systemd
systemd 是 1 号进程(PID 1)。它的一些功能,比老的 SystemV3 init
要广泛得多,用于管理正在运行的 Linux 主机的许多方面,包括挂载文件系统以及启动和管理 Linux 生产主机所需的系统服务。与启动环节无关的任何 systemd 任务都不在本文讨论范围之内(但本系列后面的一些文章将探讨其中的一些任务)。
首先,systemd 挂载 /etc/fstab
所定义的文件系统,包括所有交换文件或分区。此时,它可以访问位于 /etc
中的配置文件,包括它自己的配置文件。它使用其配置链接 /etc/systemd/system/default.target
来确定将主机引导至哪个状态或目标。default.target
文件是指向真实目标文件的符号链接。对于桌面工作站,通常是 graphical.target
,它相当于 SystemV 中的运行级别 5。对于服务器,默认值更可能是 multi-user.target
,相当于 SystemV 中的运行级别 3。emergency.target
类似于单用户模式。目标target和服务service是 systemd 的单元unit。
下表(图 2)将 systemd 目标与老的 SystemV 启动运行级别进行了比较。systemd 提供 systemd 目标别名以便向后兼容。目标别名允许脚本(以及许多系统管理员)使用 SystemV 命令(如 init 3
)更改运行级别。当然,SystemV 命令被转发给 systemd 进行解释和执行。
下图是直接从启动手册页复制来的。它显示了 systemd 启动期间一般的事件环节以及确保成功启动的基本顺序要求。
sysinit.target
和 basic.target
目标可以看作启动过程中的检查点。尽管 systemd 的设计目标之一是并行启动系统服务,但是某些服务和功能目标必须先启动,然后才能启动其它服务和目标。直到该检查点所需的所有服务和目标被满足后才能通过这些检查点。
当 sysinit.target
所依赖的所有单元都完成时,就会到达 sysinit.target
。所有这些单元,包括挂载文件系统、设置交换文件、启动 Udev、设置随机数生成器种子、启动低层服务以及配置安全服务(如果一个或多个文件系统是加密的)都必须被完成,但在 sysinit.target
中,这些任务可以并行执行。
sysinit.target
启动了系统接近正常运行所需的所有低层服务和单元,它们也是进入 basic.target
所需的。
在完成 sysinit.target
之后,systemd 会启动实现下一个目标所需的所有单元。basic.target
通过启动所有下一目标所需的单元来提供一些额外功能。包括设置为各种可执行程序目录的路径、设置通信套接字和计时器之类。
最后,用户级目标 multi-user.target
或 graphical.target
被初始化。要满足 graphical.target
的依赖必须先达到 multi-user.target
。图 3 中带下划线的目标是通常的启动目标。当达到这些目标之一时,启动就完成了。如果 multi-user.target
是默认设置,那么你应该在控制台上看到文本模式的登录界面。如果 graphical.target
是默认设置,那么你应该看到图形的登录界面。你看到的具体的 GUI 登录界面取决于你的默认显示管理器。
内核及系统日志由系统服务 rsyslog 统一管理,主配置文件为/etc/rsyslog.conf
Linux 操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下。
日志文件的分类
1.内核及系统日志:
内核及系统日志:这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中大部分的程序会把自己的日志文件交由rsyslog管理,因而这些应用程序使用的日志记录格式都很相似。
/etc/rsyslog.conf 常见配置格式为:
. 比后面等级高的(包含自己) *.info
.= 只记录该等级 .=debug
! 除了该等级都记录 ! info
有记录需要记录时,先缓存到一定大小,一次性写入
2.用户日志:
用于记录Linux系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。
3.程序旧志
:有些应用程序会选择独立管理一份日志文件 ,而不是交给rsyslog服务管理,用于记录本程序运行过程中的各种事件信息。于这些程序只负责管理自己的日志文件,因此不同程序所使用的日志记录格式也会存在较大的差异。
常见的日志文件及查看方式
日志文件 存放内容
/var/log/message 内核消息及各种应用程序的公共日志信息,包括启动、I/O错误、 网络错误、
/var/log/cron Crond周期性计划任务产生的时间信息
/var/log/dmesg 弓|导过程中的各种时间信息
/var/log/ maillog 进入或发出系统的电子邮件活动
/var/log/lastlog 每个用户最近的登录事件
/var/log/secure 用户认证相关的安全事件信息
/var/log/wtmp 每个用户登录注销及系统启动和停机事件
/var/log/btmp 失败的、错误的登录尝试及验证事件
日志消息的级别
根据日志信息的重要程度不同,分为不同的级别
数字级别越小,优先级越高,消息越重要
级别 英文表示 意义
0 EMERG(紧急) 导致主机系统不可用的情况
1 ALERT(警告) 必须马上采取解决措施
2 CRIT 严重 比较严重的情况
3 ERR 错误 运行出现错误
4 WARNING 提醒 提醒用户的重要事件
5 NOTICE 注意 不会儿影响系统,提醒用户
6 INFO 信息 一般信息
7 DEBUG 调式 程序调式
8 None 没有 不做记录
二、修改方法
1、添加系统日志文件
默认RedHat Linux不生成该日志文件,但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log/messages日志文件不同,它只记录警告信息,常常是系统出问题的信息,所以更应该关注该文件。要让系统生成该日志文件,在/etc/syslog.conf文件中加上:*.warning /var/log/syslog
2、修改系统日志文件保存的时间
修改/etc/logrotate.conf 中的
# keep 4 weeks worth of backlogs
rotate 4
改为rotate 12 /最多转储12次
将/var/log/wtmp {
monthly /每次转储以月为周期,保留最近12个月的日志
create 0664 root utmp //转储后文件不存在时创建它,文件所有者为root, 所属组为utmp,对应的权限为0664
rotate 1 中的1改为3,
}
保存后通过service syslog restart命令重启syslog进程。
常见的Linux操作系统登录文件有如下几个:
1)/var/log/secure:记录登录系统存取数据的文件;
例如pop3,ssh,telnet,ftp等都会记录在此.
2)/ar/log/wtmp:记录登录这的信息记录,被编码过,所以必须以last解析;
3)/var/log/message:jihu所有的开机系统发生的错误都会在此记录;
4)/var/log/boot.log:记录一些开机或者关机启动的一些服务显示的启动或者关闭的信息;
5)/var/log/maillog:记录邮件的存取和往来;
6)/var/log/cron:用来记录crontab这个服务的内容;
7)/var/log/httpd,/var/log/mysqld.log等等文件,记录几个不同的网络服务的记录文件;
8)/var/log/acpid , ACPI - Advanced Configuration and Power Interface,表示高级配置和电源管理接口。
9)/var/run/utmp 记录着现在登录的用户;
10)/var/log/lastlog 记录每个用户最后的登录信息;
11)/var/log/btmp 记录错误的登录尝试;
12)/var/log/dmesg内核日志;
13)/var/log/cpus CPU的处理信息;
14)/var/log/syslog 事件记录监控程序日志;
15)/var/log/auth.log 用户认证日志;
16)/var/log/daemon.log 系统进程日志;
17)/var/log/mail.err 邮件错误信息;
18)/var/log/mail.info 邮件信息;
19)/var/log/mail.warn 邮件警告信息;
20)/var/log/daemon.log 系统监控程序产生的信息;
21)/var/log/kern 内核产生的信息;
22)/var/log/lpr 行打印机假脱机系统产生的信息;
更多推荐
所有评论(0)