該系列目錄 --> 【BASH】回顧與知識點(diǎn)梳理（目錄）

三十六. 認(rèn)識與分析登錄檔

當(dāng)你的 Linux 系統(tǒng)出現(xiàn)不明原因的問題時，很多人都告訴你，你要查閱一下登錄文件才能夠知道系統(tǒng)出了什么問題了，所以說， 了解登錄檔是很重要的事情呢。登錄文件可以記錄系統(tǒng)在什么時間、哪個主機(jī)、哪個服務(wù)、出現(xiàn)了什么訊息等信息， 這些信息也包括用戶識別數(shù)據(jù)、系統(tǒng)故障排除須知等信息。如果你能夠善用這些登錄文件信息的話，你的系統(tǒng)出現(xiàn)錯誤時， 你將可以在第一時間發(fā)現(xiàn)，而且也能夠從中找到解決的方案，而不是昏頭轉(zhuǎn)向的亂問人呢。 此外，登錄文件所記錄的信息量是非常大的，要人眼分析實(shí)在很困難。此時利用 shell script 或者是其他軟件提供的分析工具來處理復(fù)雜的登錄檔，可以幫助你很多很多喔！

36.1 什么是登錄檔

『詳細(xì)而確實(shí)的分析以及備份系統(tǒng)的登錄文件』是一個系統(tǒng)管理員應(yīng)該要進(jìn)行的任務(wù)之一。 那么什么是登錄檔呢？簡單的說，就是記錄系統(tǒng)活動信息的幾個文件， 例如：何時、何地 (來源 IP)、何人(什么服務(wù)名稱)、做了什么動作 (訊息登錄啰)。 換句話說就是：記錄系統(tǒng)在什么時候由哪個程序做了什么樣的行為時，發(fā)生了何種的事件等等

CentOS 7 登錄檔簡易說明

要知道的是，我們的 Linux 主機(jī)在背景之下有相當(dāng)多的 daemons 同時在工作著，這些工作中的程序總是會顯示一些訊息， 這些顯示的訊息最終會被記載到登錄文件當(dāng)中啦。也就是說，記錄這些系統(tǒng)的重要訊息就是登錄文件的工作啦！

登錄檔的重要性

• 解決系統(tǒng)方面的錯誤
• 解決網(wǎng)絡(luò)服務(wù)的問題
• 過往事件記錄簿

所以我們常說『自助者天助』是真的啦！你可以透過 (1)察看屏幕上面的錯誤訊息與 (2)登錄文件的錯誤信息，幾乎可以解決大部分的 Linux 問題！

Linux 常見的登錄檔檔名

登錄文件可以幫助我們了解很多系統(tǒng)重要的事件，包括登入者的部分信息，因此登錄文件的權(quán)限通常是設(shè)定為僅有 root 能夠讀取而已。

登錄文件	說明
/var/log/boot.log	開機(jī)的時候系統(tǒng)核心會去偵測與啟動硬件，接下來開始各種核心支持的功能啟動等。這些流程都會記錄在/var/log/boot.log 里面哩！不過這個文件只會存在這次開機(jī)啟動的信息，前次開機(jī)的信息并不會被保留下來！
/var/log/cron	還記得例行性工作排程吧？你的 crontab 排程有沒有實(shí)際被進(jìn)行？ 進(jìn)行過程有沒有發(fā)生錯誤？你的 /etc/crontab 是否撰寫正確？在這個登錄檔內(nèi)查詢看看。
/var/log/dmesg	記錄系統(tǒng)在開機(jī)的時候核心偵測過程所產(chǎn)生的各項(xiàng)信息。由于 CentOS 默認(rèn)將開機(jī)時核心的硬件偵測過程取消顯示， 因此額外將數(shù)據(jù)記錄一份在這個文件中；
/var/log/lastlog	可以記錄系統(tǒng)上面所有的賬號最近一次登入系統(tǒng)時的相關(guān)信息。 lastlog 指令就是利用這個文件的記錄信息來顯示的。
/var/log/maillog 或 /var/log/mail/*	記錄郵件的往來信息，其實(shí)主要是記錄 postfix (SMTP 協(xié)議提供者) 與 dovecot (POP3 協(xié)議提供者) 所產(chǎn)生的訊息啦。 SMTP 是發(fā)信所使用的通訊協(xié)議， POP3 則是收信使用的通訊協(xié)議。 postfix 與 dovecot 則分別是兩套達(dá)成通訊協(xié)議的軟件。
/var/log/messages	這個文件相當(dāng)?shù)闹匾?#xff0c;幾乎系統(tǒng)發(fā)生的錯誤訊息 (或者是重要的信息) 都會記錄在這個文件中； 如果系統(tǒng)發(fā)生莫名的錯誤時，這個文件是一定要查閱的登錄檔之一。
/var/log/secure	基本上，只要牽涉到『需要輸入賬號密碼』的軟件，那么當(dāng)?shù)侨霑r (不管登入正確或錯誤) 都會被記錄在此文件中。 包括系統(tǒng)的 login 程序、圖形接口登入所使用的 gdm 程序、 su, sudo 等程序、還有網(wǎng)絡(luò)聯(lián)機(jī)的ssh, telnet 等程序， 登入信息都會被記載在這里；
/var/log/wtmp, /var/log/faillog	這兩個文件可以記錄正確登入系統(tǒng)者的帳戶信息 (wtmp) 與錯誤登入時所使用的帳戶信息 (faillog) ！ 我們在第十章談到的 last 就是讀取 wtmp 來顯示的， 這對于追蹤一般賬號者的使用行為很有幫助！
/var/log/httpd/*, /var/log/samba/*	不同的網(wǎng)絡(luò)服務(wù)會使用它們自己的登錄文件來記載它們自己產(chǎn)生的各項(xiàng)訊息！上述的目錄內(nèi)則是個別服務(wù)所制訂的登錄檔。

更多登錄檔信息可查看CHAPTER 1 CentOS的日志系統(tǒng)（日志文件）

常見的登錄檔就是這幾個，但是不同的 Linux distributions ，通常登錄檔的檔名不會相同 (除了/var/log/messages 之外 )。所以說，你還是得要查閱你 Linux 主機(jī)上面的登錄文件設(shè)定數(shù)據(jù)， 才能知道你的登錄檔主要檔名喔！

登錄檔所需相關(guān)服務(wù) (daemon) 與程序

那么這些登錄檔是怎么產(chǎn)生的呢？基本上有兩種方式，一種是由軟件開發(fā)商自行定義寫入的登錄檔與相關(guān)格式， 例如 WWW 軟件 apache 就是這樣處理的。另一種則是由 Linux distribution 提供的登錄檔管理服務(wù)來統(tǒng)一管理。 你只要將訊息丟給這個服務(wù)后，他就會自己分門別類的將各種訊息放置到相關(guān)的登錄檔去！CentOS 提供 rsyslog.service 這個服務(wù)來統(tǒng)一管理登錄檔喔！

不過要注意的是，如果你任憑登錄文件持續(xù)記錄的話，由于系統(tǒng)產(chǎn)生的信息天天都有，那么你的登錄文件的容量將會長大到無法無天～ 如果你的登錄文件容量太大時，可能會導(dǎo)致大文件讀寫效率不佳的問題 (因?yàn)橐獜拇疟P讀入內(nèi)存，越大的文件消耗內(nèi)存量越多)。 所以啰，你需要對登錄檔備份與更新。那…需要手動處理喔？當(dāng)然不需要，我們可以透過 logrotate (登錄檔輪替) 這玩意兒來自動化處理登錄文件容量與更新的問題喔！

所謂的 logrotate 基本上，就是將舊的登錄檔更改名稱，然后建立一個空的登錄檔，如此一來， 新的登錄文件將重新開始記錄，然后只要將舊的登錄檔留下一陣子，嗯！那就可以達(dá)到將登錄檔『輪轉(zhuǎn)』的目的啦！ 此外，如果舊的記錄 (大概要保存幾個月吧！) 保存了一段時間沒有問題，那么就可以讓系統(tǒng)自動的將他砍掉， 免得占掉很多寶貴的硬盤空間說！

總結(jié)一下，針對登錄文件所需的功能，我們需要的服務(wù)與程序有：

• systemd-journald.service：最主要的訊息收受者，由 systemd 提供的；
• rsyslog.service：主要登錄系統(tǒng)與網(wǎng)絡(luò)等服務(wù)的訊息；
• logrotate：主要在進(jìn)行登錄文件的輪替功能。

CentOS 7.x 使用 systemd 提供的 journalctl 日志管理

CentOS 7 除了保有既有的 rsyslog.service 之外，其實(shí)最上游還使用了 systemd 自己的登錄文件日志管理功能喔！他使用的是 systemd-journald.service 這個服務(wù)來支持的?；旧?#xff0c;系統(tǒng)由 systemd 所管理，那所有經(jīng)由 systemd 啟動的服務(wù)，如果再啟動或結(jié)束的過程中發(fā)生一些問題或者是正常的訊息， 就會將該訊息由 systemd-journald.service 以二進(jìn)制的方式記錄下來，之后再將這個訊息發(fā)送給rsyslog.service 作進(jìn)一步的記載。

systemd-journald.service 的記錄主要都放置于內(nèi)存中，因此在存取方面效能比較好～我們也能夠透過journalctl 以及 systemctl status unit.service 來查看各個不同服務(wù)的登錄檔！ 這有個好處，就是登錄檔可以隨著個別服務(wù)讓你查閱，在單一服務(wù)的處理上面，要比跑到 /var/log/messages 去大海撈針來的簡易很多！不過，因?yàn)?system-journald.service 里面的很多觀念還是沿用 rsyslog.service 相關(guān)的信息，所以，本章還是先從 rsyslog.service 先談起， 談完之后再以 journalctl 進(jìn)一步了解 systemd 是怎么去記錄登錄文件日志功能的呦！

登錄檔內(nèi)容的一般格式

一般來說，系統(tǒng)產(chǎn)生的訊息經(jīng)過記錄下來的數(shù)據(jù)中，每條訊息均會記錄底下的幾個重要數(shù)據(jù)：

• 事件發(fā)生的日期與時間
• 發(fā)生此事件的主機(jī)名；
• 啟動此事件的服務(wù)名稱 (如 systemd, CROND 等) 或指令與函式名稱 (如 su, login…)；
• 該訊息的實(shí)際數(shù)據(jù)內(nèi)容。

當(dāng)然，這些信息的『詳細(xì)度』是可以修改的，而且，這些信息可以作為系統(tǒng)除錯之用呢！ 我們拿登錄時一定會記載帳戶信息的 /var/log/secure 為例好了：

[root@study ~]# cat /var/log/secure
Aug 17 18:38:06 study login: pam_unix(login:session): session opened for user root by LOGIN(uid=0)
Aug 17 18:38:06 study login: ROOT LOGIN ON tty1
...
|--日期/時間---|-host-|-服務(wù)與相關(guān)函數(shù)-|-----------訊息說明------>

我們拿第一筆數(shù)據(jù) (共兩行) 來說明好了，該資料是說：『在 08/17 的 18:38 左右，在名為 study 的這部主機(jī)系統(tǒng)上，由 login 這個程序產(chǎn)生的訊息，內(nèi)容顯示 root 在 tty1 登入了，而相關(guān)的權(quán)限給予是透過 pam_unix 模塊處理的 (共兩行數(shù)據(jù))?！挥袎蚯宄?#xff01;

其實(shí)還有很多的信息值得查閱的呢！尤其是 /var/log/messages 的內(nèi)容。記得一個好的系統(tǒng)管理員，要常常去『巡視』登錄檔的內(nèi)容喔！尤其是發(fā)生底下幾種情況時：

• 當(dāng)你覺得系統(tǒng)似乎不太正常時；
• 某個 daemon 老是無法正常啟動時；
• 某個使用者老是無法登入時；
• 某個 daemon 執(zhí)行過程老是不順暢時；

36.2 rsyslog.service ：記錄登錄文件的服務(wù)

上一小節(jié)提到說 Linux 的登錄檔主要是由 rsyslog.service 在負(fù)責(zé)，那么你的 Linux 是否有啟動rsyslog 呢？而且是否有設(shè)定開機(jī)時啟動呢？呵呵！檢查一下先：

[root@study ~]# ps aux | grep rsyslog
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 750 0.0 0.1 208012 4732 ? Ssl Aug17 0:00 /usr/sbin/rsyslogd -n
# 瞧！確實(shí)有啟動的！daemon 執(zhí)行檔名為 rsyslogd 喔！
[root@study ~]# systemctl status rsyslog.service
rsyslog.service - System Logging ServiceLoaded: loaded (/usr/lib/systemd/system/rsyslog.service; enabled)Active: active (running) since Mon 2015-08-17 18:37:58 CST; 2 days ago
Main PID: 750 (rsyslogd)CGroup: /system.slice/rsyslog.service└─750 /usr/sbin/rsyslogd -n
# 也有啟動這個服務(wù)，也有預(yù)設(shè)開機(jī)時也要啟動這個服務(wù)！OK！正常沒問題！！

rsyslog.service 的配置文件：/etc/rsyslog.conf

基本上， rsyslogd 針對各種服務(wù)與訊息記錄在某些文件的配置文件就是 /etc/rsyslog.conf， 這個文件規(guī)定了『(1)什么服務(wù) (2)的什么等級訊息 (3)需要被記錄在哪里(裝置或文件)』 這三個咚咚，所以設(shè)定的語法會是這樣：

服務(wù)名稱[.=!]訊息等級 訊息記錄的文件名或裝置或主機(jī)
# 底下以 mail 這個服務(wù)產(chǎn)生的 info 等級為例：
mail.info /var/log/maillog_info
# 這一行說明：mail 服務(wù)產(chǎn)生的大于等于 info 等級的訊息，都記錄到
# /var/log/maillog_info 文件中的意思。

我們將上面的數(shù)據(jù)簡單的分為三部分來說明：

服務(wù)名稱

rsyslogd 主要還是透過 Linux 核心提供的 syslog 相關(guān)規(guī)范來設(shè)定數(shù)據(jù)的分類的，Linux 的 syslog 本身有規(guī)范一些服務(wù)訊息， 你可以透過這些服務(wù)來儲存系統(tǒng)的訊息。Linux 核心的 syslog 認(rèn)識的服務(wù)類型主要有底下這些： (可使用 man 3 syslog 查詢到相關(guān)的信息，或查詢 syslog.h 這個文件來了解的！)

相對序號	服務(wù)類別	說明
0	kern(kernel)	就是核心(kernel)產(chǎn)生的訊息，大部分都是硬件偵測以及核心功能的啟用
1	user	在用戶層級所產(chǎn)生的信息，例如后續(xù)會介紹到的用戶使用
2	mail	只要與郵件收發(fā)有關(guān)的訊息記錄都屬于這個；
3	daemon	主要是系統(tǒng)的服務(wù)所產(chǎn)生的信息，例如systemd就是這個有關(guān)的訊息！
4	auth	主要與認(rèn)證/授權(quán)有關(guān)的機(jī)制，例如login,ssh,su等需要賬號/密碼的咚咚；
5	syslog	就是由syslog相關(guān)協(xié)議產(chǎn)生的信息，其實(shí)就是rsyslogd這支程序本身產(chǎn)生的信息啊！
6	lpr	亦即是打印相關(guān)的訊息啊！
7	news	與新聞組服務(wù)器有關(guān)的東西；
8	uucp	全名為Unix to Unix Copy Protocol，早期用于unix系統(tǒng)間的程序數(shù)據(jù)交換；
9	cron	就是例行性工作排程cron/at等產(chǎn)生訊息記錄的地方；
10	authpriv	與auth類似，但記錄較多賬號私人的信息，包括pam模塊的運(yùn)作等！
11	ftp	與FTP通訊協(xié)議有關(guān)的訊息輸出！
16~23	local0~local7	保留給本機(jī)用戶使用的一些登錄文件訊息，較常與終端機(jī)互動。

上面談到的都是 Linux 核心的 syslog 函數(shù)自行制訂的服務(wù)名稱，軟件開發(fā)商可以透過呼叫上述的服務(wù)名稱來記錄他們的軟件。 舉例來說， sendmail 與 postfix 及 dovecot 都是與郵件有關(guān)的軟件，這些軟件在設(shè)計登錄文件記錄時，都會主動呼叫 syslog 內(nèi)的 mail 服務(wù)名稱 (LOG_MAIL)。所以上述三個軟件 (sendmail, postfix, dovecot) 產(chǎn)生的訊息在 syslog 看起來，就會『是 mail 』類型的服務(wù)了。我們可以將這個概念繪制如底下的圖示來理解：

為了讓不同的信息放置到不同的文件當(dāng)中，好讓我們分門別類的進(jìn)行登錄檔的管理， 所以啰，將各種類別的服務(wù)之登錄文件，記錄在不同的文件里面，就是我們 /etc/rsyslog.conf 所要作的規(guī)范了！

訊息等級

同一個服務(wù)所產(chǎn)生的訊息也是有差別的，有啟動時僅通知系統(tǒng)而已的一般訊息 (information)， 有出現(xiàn)還不至于影響到正常運(yùn)作的警告訊息 (warn) ，還有系統(tǒng)硬件發(fā)生嚴(yán)重錯誤時，所產(chǎn)生的重大問題訊息 (error 等等)； 訊息到底有多少種嚴(yán)重的等級呢？基本上，Linux 核心的 syslog 將訊息分為七個主要的等級，根據(jù) syslog.h 的定義，訊息名稱與數(shù)值的對應(yīng)如下：

等級數(shù)值	等級名稱	說明
	none	不需登錄等級，忽略掉某些服務(wù)的信息
7	debug	用來 debug (除錯) 時產(chǎn)生的訊息數(shù)據(jù)；
6	info	僅是一些基本的訊息說明而已；
5	notice	雖然是正常信息，但比 info 還需要被注意到的一些信息內(nèi)容；
4	warning (warn)	警示的訊息，可能有問題，但是還不至于影響到某個 daemon 運(yùn)作的信息；基本上，info, notice, warn 這三個訊息都是在告知一些基本信息而已，應(yīng)該還不至于造成一些系統(tǒng)運(yùn)作困擾；
3	err (error)	一些重大的錯誤訊息，例如配置文件的某些設(shè)定值造成該服務(wù)服法啟動的信息說明， 通常藉由 err 的錯誤告知，應(yīng)該可以了解到該服務(wù)無法啟動的問題呢！
2	crit	比 error 還要嚴(yán)重的錯誤信息，這個 crit 是臨界點(diǎn) (critical) 的縮寫，這個錯誤已經(jīng)很嚴(yán)重了喔！
1	alert	警告警告，已經(jīng)很有問題的等級，比 crit 還要嚴(yán)重！
0	emerg (panic)	疼痛等級，意指系統(tǒng)已經(jīng)幾乎要當(dāng)機(jī)的狀態(tài)！ 很嚴(yán)重的錯誤信息了。通常大概只有硬件出問題，導(dǎo)致整個核心無法順利運(yùn)作，就會出現(xiàn)這樣的等級的訊息吧！

基本上，在 0(emerg) 到 6(info) 的等級之間，等級數(shù)值越高代表越?jīng)]事，等級靠近 0 則代表事情大條了！除了 0 到 6 之外還有兩個比較特殊的等級， 那就是 debug(錯誤偵測等級) 與 none (不需登錄等級) 兩個，當(dāng)我們想要作一些錯誤偵測，或者是忽略掉某些服務(wù)的信息時， 就用這兩個咚咚吧！

特別留意一下在訊息等級之前還有 [.=!] 的鏈接符號喔！他代表的意思是這樣的：

• . ：代表『比后面還要嚴(yán)重的等級 (含該等級) 都被記錄下來』的意思，例如： mail.info 代表只要是 mail 的信息，而且該信息等級嚴(yán)重于 info (含 info 本身)時，就會被記錄下來的意思。
• .=：代表所需要的等級就是后面接的等級而已， 其他的不要！
• .!：代表不等于， 亦即是除了該等級外的其他等級都記錄。

一般來說，我們比較常使用的是『.』這個鏈接符號啦！^_^

訊息記錄的文件名或裝置或主機(jī)

再來則是這個訊息要放置在哪里的設(shè)定了。通常我們使用的都是記錄的文件啦！但是也可以輸出到裝置呦！ 例如打印機(jī)之類的！也可以記錄到不同的主機(jī)上頭去呢！底下就是一些常見的放置處：

• 文件的絕對路徑：通常就是放在 /var/log 里頭的文件啦！
• 打印機(jī)或其他：例如 /dev/lp0 這個打印機(jī)裝置
• 使用者名稱：顯示給用戶啰！
• 遠(yuǎn)程主機(jī)：例如 @study.vbird.tsai 當(dāng)然啦，要對方主機(jī)也能支持才行！
• *：代表『目前在在線的所有人』，類似 wall 這個指令的意義！

服務(wù)、daemon 與函數(shù)名稱

看完上面的說明，相信你一定會越來越迷糊！啊！怎么會有 syslog, rsyslogd, rsyslog.service！見鬼～名稱都不相同！那是啥東西？ 基本上，這幾個東西你應(yīng)該要這樣看：

項(xiàng)目	分類	說明
syslog	函數(shù)	這個是 Linux 核心所提供的登錄檔設(shè)計指引，所有的要求大概都寫入道一個名為 syslog.h 的頭文件案中。如果你想要開發(fā)與登錄文件有關(guān)的軟件， 那你就得要依循這個 syslog 函數(shù)的要求去設(shè)計才行！可以使用 man 3 syslog 去查詢一下相關(guān)的數(shù)據(jù)！
rsyslogd	daemon	為了要達(dá)成實(shí)際上進(jìn)行訊息的分類所開發(fā)的一套軟件，所以，這就是最基本的 daemon 程序！
rsyslog.service	服務(wù)	為了加入 systemd 的控制，因此 rsyslogd 的開發(fā)者設(shè)計的啟動服務(wù)腳本設(shè)定！

rsyslog.conf 語法練習(xí)

基本上，整個 rsyslog.conf 配置文件的內(nèi)容參數(shù)大概就只是這樣而已，底下我們來思考一些例題，好讓你可以更清楚的知道如何設(shè)定rsyslogd 啊！

如果我要將我的 mail 相關(guān)的數(shù)據(jù)給他寫入 /var/log/maillog 當(dāng)中，那么在 /etc/rsyslog.conf 的語法如何設(shè)計？
答：基本的寫法是這樣的：
mail.info /var/log/maillog
注意到上面喔，當(dāng)我們的等級使用 info 時，那么『任何嚴(yán)重于 info 等級(含 info 這個等級)之上的訊息， 都會被寫入到后面接的文件之中！』這樣可以了解嗎？也就是說，我們可以將所有 mail 的登錄信息都記錄在/var/log/maillog 里面的意思啦！

我要將新聞組資料 (news) 及例行性工作排程 (cron) 的訊息都寫入到一個稱為 /var/log/cronnews 的文件中，但是這兩個程序的警告訊息則額外的記錄在 /var/log/cronnews.warn 中，那該如何設(shè)定我的 rsyslog.conf 呢？
答：很簡單啦！既然是兩個程序，那么只好以分號來隔開了，此外，由于第二個指定文件中，我只要記錄警告訊息， 因此設(shè)定上需要指定『.=』這個符號，所以語法成為了：
news.*;cron.* /var/log/cronnews(news!=warn,coron!=warn /var/log/cronnews)
news.=warn;cron.=warn /var/log/cronnews.warn
上面那個『.=』就是在指定等級的意思啦！由于指定了等級，因此，只有這個等級的訊息才會被記錄在這個文件里面呢！ 此外你也必須要注意，news 與 cron 的警告訊息也會寫入 /var/log/cronnews 內(nèi)喔！

我的 messages 這個文件需要記錄所有的信息，但是就是不想要記錄 cron, mail 及 news 的信息，那么應(yīng)該怎么寫才好？
答：可以有兩種寫法，分別是：
*.*;news,cron,mail.none /var/log/messages
*.*;news.none;cron.none;mail.none /var/log/messages
使用『,』分隔時，那么等級只要接在最后一個即可，如果是以『;』來分的話， 那么就需要將服務(wù)與等級都寫上去啰！這樣會設(shè)定了吧！

CentOS 7.x 預(yù)設(shè)的 rsyslog.conf 內(nèi)容

了解語法之后，我們來看一看 rsyslogd 有哪些系統(tǒng)服務(wù)已經(jīng)在記錄了呢？就是瞧一瞧/etc/rsyslog.conf 這個文件的預(yù)設(shè)內(nèi)容啰！ (注意！如果需要將該行做為批注時，那么就加上 # 符號就可以啦)

# 來自 CentOS 7.x 的相關(guān)資料
[root@study ~]# vim /etc/rsyslog.conf
1 #kern.* /dev/console
2 *.info;mail.none;authpriv.none;cron.none /var/log/messages
3 authpriv.* /var/log/secure
4 mail.* -/var/log/maillog
5 cron.* /var/log/cron
6 *.emerg :omusrmsg:*
7 uucp,news.crit /var/log/spooler
8 local7.* /var/log/boot.log

上面總共僅有 8 行設(shè)定值，每一行的意義是這樣的：

1. #kern.*：只要是核心產(chǎn)生的訊息，全部都送到 console(終端機(jī)) 去。console 通常是由外部裝置連接到系統(tǒng)而來， 舉例來說，很多封閉型主機(jī) (沒有鍵盤、屏幕的系統(tǒng)) 可以透過連接 RS232 連接口將訊息傳輸?shù)酵獠康南到y(tǒng)中， 例如以筆記本電腦連接到封閉主機(jī)的 RS232 插口。這個項(xiàng)目通常應(yīng)該是用在系統(tǒng)出現(xiàn)嚴(yán)重問題而無法使用默認(rèn)的屏幕觀察系統(tǒng)時， 可以透過這個項(xiàng)目來連接取得核心的訊息。
2. *.info;mail.none;authpriv.none;cron.none：由于 mail, authpriv, cron 等類別產(chǎn)生的訊息較多， 且已經(jīng)寫入底下的數(shù)個文件中，因此在/var/log/messages 里面就不記錄這些項(xiàng)目。除此之外的其他訊息都寫入/var/log/messages 中。這也是為啥我們說這個 messages 文件很重要的緣故！
3. authpriv.*：認(rèn)證方面的訊息均寫入 /var/log/secure 文件；
4. mail.*：郵件方面的訊息則均寫入 /var/log/maillog 文件；
5. cron.*：例行性工作排程均寫入 /var/log/cron 文件；
6. *.emerg：當(dāng)產(chǎn)生最嚴(yán)重的錯誤等級時，將該等級的訊息以 wall 的方式廣播給所有在系統(tǒng)登入的賬號得知，要這么做的原因是希望在線的用戶能夠趕緊通知系統(tǒng)管理員來處理這么可怕的錯誤問題。
7. uucp,news.crit：uucp 是早期 Unix-like 系統(tǒng)進(jìn)行數(shù)據(jù)傳遞的通訊協(xié)議，后來常用在新聞組的用途中。 news 則是新聞組。當(dāng)新聞組方面的信息有嚴(yán)重錯誤時就寫入 /var/log/spooler 文件中；
8. local7.*：將本機(jī)開機(jī)時應(yīng)該顯示到屏幕的訊息寫入到 /var/log/boot.log 文件中；

在上面的第四行關(guān)于 mail 的記錄中，在記錄的文件 /var/log/maillog 前面還有個減號『-』是干嘛用的？
由于郵件所產(chǎn)生的訊息比較多，因此我們希望郵件產(chǎn)生的訊息先儲存在速度較快的內(nèi)存中(buffer) ，等到數(shù)據(jù)量夠大了才一次性的將所有數(shù)據(jù)都填入磁盤內(nèi)，這樣將有助于登錄文件的存取性能。
只不過由于訊息是暫存在內(nèi)存內(nèi)，因此若不正常關(guān)機(jī)導(dǎo)致登錄信息未回填到登錄檔中，可能會造成部分?jǐn)?shù)據(jù)的遺失。

自行增加登錄文件文件功能

如果你有其他的需求，所以需要特殊的文件來幫你記錄時，呵呵！別客氣，千萬給他記錄在/etc/rsyslog.conf 當(dāng)中，如此一來，你就可以重復(fù)的將許多的信息記錄在不同的文件當(dāng)中，以方便你的管理呢！ 讓我們來作個練習(xí)題吧！如果你想要讓『所有的信息』都額外寫入到 /var/log/admin.log 這個文件時， 你可以怎么作呢？先自己想一想，并且作一下，再來看看底下的作法啦！

# 1. 先設(shè)定好所要建立的文件設(shè)置！
[root@study ~]# vim /etc/rsyslog.conf
# Add by VBird 2015/08/19 <==再次強(qiáng)調(diào)，自己修改的時候加入一些說明
*.info /var/log/admin.log <==有用的是這行啦！
# 2. 重新啟動 rsyslogd 呢！
[root@study ~]# systemctl restart rsyslog.service
[root@study ~]# ll /var/log/admin.log
-rw-r--r--. 1 root root 325 Aug 20 00:54 /var/log/admin.log
# 瞧吧！建立了這個登錄檔出現(xiàn)啰！

登錄檔的安全性設(shè)置

好了，由上一個小節(jié)里面我們知道了 rsyslog.conf 的設(shè)定，也知道了登錄檔內(nèi)容的重要性了， 所以，如果幻想你是一個很厲害的黑客，想利用他人的計算機(jī)干壞事，然后又不想留下證據(jù)， 你會怎么作？對啦！就是離開的時候?qū)⑵ü刹粮蓛?#xff0c;將所有可能的訊息都給他抹煞掉， 所以第一個動腦筋的地方就是登錄檔的清除工作啦～ 如果你的登錄檔不見了，那該怎辦？

有沒有辦法防止登錄檔被刪除？或者是被 root 自己不小心變更呢？有呀！拔掉網(wǎng)絡(luò)線或電源線就好了……呵呵！ 別擔(dān)心，基本上，我們可以透過一個隱藏的屬性來設(shè)定你的登錄檔，成為『 只可以增加數(shù)據(jù)，但是不能被刪除 』的狀態(tài)，那么或許可以達(dá)到些許的保護(hù)！不過，如果你的 root 賬號被破解了，那么底下的設(shè)定還是無法保護(hù)的，因?yàn)槟阋浀谩?code> root 是可以在系統(tǒng)上面進(jìn)行任何事情的 』，因此，請將你的 root 這個賬號的密碼設(shè)定的安全一些！千萬不要輕忽這個問題呢！

為什么登錄檔還要防止被自己 (root) 不小心所修改過呢？ 鳥哥在教 Linux 的課程時，我的學(xué)生常常會舉手說：『老師，我的登錄文件不能記錄信息了！糟糕！是不是被入侵了啊？』 怪怪！明明是計算機(jī)教室的主機(jī)，使用的是 Private IP 而且學(xué)校計中還有抵擋機(jī)制，不可能被攻擊吧？ 查詢了才知道原來同學(xué)很喜歡使用『 :wq 』來離開 vim 的環(huán)境，但是 rsyslogd 的登錄檔只要『被編輯過』就無法繼續(xù)記錄！ 所以才會導(dǎo)致不能記錄的問題。此時你得要 (1)改變使用 vim 的習(xí)慣； (2)重新啟動 rsyslog.service 讓他再繼續(xù)提供服務(wù)才行喔！

既然如此，那么我們就來處理一下隱藏屬性的東東吧！我們談到過 lsattr 與chattr這兩個東西啦！如果將一個文件以 chattr 設(shè)定 i 這個屬性時，那么該文件連 root 都不能殺掉！而且也不能新增數(shù)據(jù)，嗯！真安全！但是，如此一來登錄文件的功能豈不是也就消失了？ 因?yàn)闆]有辦法寫入呀！所以啰，我們要使用的是 a 這個屬性！你的登錄文件如果設(shè)定了這個屬性的話，那么 他將只能被增加，而不能被刪除！嗯！ 這個項(xiàng)目就非常的符合我們登錄檔的需求啦！因此，你可以這樣的增加你的登錄文件的隱藏屬性。

[root@study ~]# chattr +a /var/log/admin.log
[root@study ~]# lsattr /var/log/admin.log
-----a---------- /var/log/admin.log

不過，也因?yàn)檫@個 +a 的屬性讓該文件無法被刪除與修改，所以啰，當(dāng)我們進(jìn)行登錄文件輪替時(logrotate) ，將會無法移動該登錄檔的檔名呢！所以會造成很大的困擾。這個困擾雖然可以使用logrotate 的配置文件來解決，但是，還是先將登錄檔的 +a 旗標(biāo)拿掉吧！

登錄檔服務(wù)器的設(shè)定

我們在之前稍微提到的，在 rsyslog.conf 文件當(dāng)中，可以將登錄數(shù)據(jù)傳送到打印機(jī)或者是遠(yuǎn)程主機(jī)上面去。這樣做有什么意義呢？ 如果你將登錄信息直接傳送到打印機(jī)上面的話，那么萬一不小心你的系統(tǒng)被 cracker 所入侵， 他也將你的 /var/log/ 砍掉了，怎么辦？沒關(guān)系啊！反正你已經(jīng)將重要數(shù)據(jù)直接以打印機(jī)記錄起來了， 嘿嘿！他是無法逃開的啦！^_^

再想象一個環(huán)境，你的辦公室內(nèi)有十部 Linux 主機(jī)，每一部負(fù)責(zé)一個網(wǎng)絡(luò)服務(wù)， 你為了要了解每部主機(jī)的狀態(tài)，因此，你常常需要登入這十部主機(jī)去查閱你的登錄檔～ 哇！光用想的，每天要進(jìn)入十部主機(jī)去查數(shù)據(jù)，想到就煩～沒關(guān)系～這個時候我們可以讓某一部主機(jī)當(dāng)成 『登錄文件服務(wù)器』，用他來記錄所有的十部 linux 主機(jī)的信息，嘿嘿！這樣我就直接進(jìn)入一部主機(jī)就可以了！ 省時又省事，真方便～

那要怎么達(dá)到這樣的功能呢？很簡單啦，我們 CentOS 7.x 預(yù)設(shè)的 rsyslogd 本身就已經(jīng)具有這個登錄文件服務(wù)器的功能了， 只是默認(rèn)并沒有啟動該功能而已。你可以透過 man rsyslogd 去查詢一下相關(guān)的選項(xiàng)就能夠知道啦！既然是登錄檔服務(wù)器，那么我們的 Linux 主機(jī)當(dāng)然會啟動一個埠口來監(jiān)聽了，那個預(yù)設(shè)的埠口就是 UDP 或 TCP 的 port 514 喔！

如上圖所示，服務(wù)器會啟動監(jiān)聽的埠口，客戶端則將登錄檔再轉(zhuǎn)出一份送到服務(wù)器去。 而既然是登錄檔『服務(wù)器』，所以當(dāng)然有服務(wù)器與客戶端 (client) 啰！這兩者的設(shè)定分別是這樣的：
server:

# 1. Server 端：修改 rsyslogd 的啟動配置文件，在 /etc/rsyslog.conf 內(nèi)！
[root@study ~]# vim /etc/rsyslog.conf
# 找到底下這幾行：
# Provides UDP syslog reception
#$ModLoad imudp
#$UDPServerRun 514
# Provides TCP syslog reception
#$ModLoad imtcp
#$InputTCPServerRun 514
# 上面的是 UDP 埠口，底下的是 TCP 埠口！如果你的網(wǎng)絡(luò)狀態(tài)很穩(wěn)定，就用 UDP 即可。
# 不過，如果你想要讓數(shù)據(jù)比較穩(wěn)定傳輸，那么建議使用 TCP 啰！所以修改底下兩行即可！
$ModLoad imtcp
$InputTCPServerRun 514
# 2. 重新啟動與觀察 rsyslogd 喔！
[root@study ~]# systemctl restart rsyslog.service
[root@study ~]# netstat -ltnp | grep syslog
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:514 0.0.0.0:* LISTEN 2145/rsyslogd
tcp6 0 0 :::514 :::* LISTEN 2145/rsyslogd
# 嘿嘿！你的登錄文件主機(jī)已經(jīng)設(shè)定妥當(dāng)啰！很簡單吧！

client 端的設(shè)定就簡單多了！只要指定某個信息傳送到這部主機(jī)即可！ 舉例來說，我們的登錄檔服務(wù)器 IP 為 192.168.1.100 ，而 client 端希望所有的數(shù)據(jù)都送給主機(jī)， 所以，可以在/etc/rsyslog.conf 里面新增這樣的一行：
client:

[root@study ~]# vim /etc/rsyslog.conf
*.* @@192.168.1.100
#*.* @192.168.1.100 # 若用 UDP 傳輸，設(shè)定要變這樣！
[root@study ~]# systemctl restart rsyslog.service

再重新啟動 rsyslog.service 后，立刻就搞定了！而未來主機(jī)上面的登錄文件當(dāng)中，每一行的『主機(jī)名』就會顯示來自不同主機(jī)的信息了。

36.3 登錄檔的輪替(logrotate)

rsyslogd 利用的是 daemon 的方式來啟動的，當(dāng)有需求的時候立刻就會被執(zhí)行的，但是 logrotate 卻是在規(guī)定的時間到了之后才來進(jìn)行登錄檔的輪替， 所以這個 logrotate 程序當(dāng)然就是掛在 cron 底下進(jìn)行的呦！

logrotate 的配置文件

既然 logrotate 主要是針對登錄檔來進(jìn)行輪替的動作，所以啰，他當(dāng)然必須要記載『 在什么狀態(tài)下才將登錄檔進(jìn)行輪替』的設(shè)定啊！那么 logrotate 這個程序的參數(shù)配置文件在哪里呢？呵呵！那就是：

• /etc/logrotate.conf
• /etc/logrotate.d/

那個 logrotate.conf 才是主要的參數(shù)文件，至于 logrotate.d 是一個目錄， 該目錄里面的所有文件都會被主動的讀入 /etc/logrotate.conf 當(dāng)中來進(jìn)行！另外，在 /etc/logrotate.d/ 里面的文件中，如果沒有規(guī)定到的一些細(xì)部設(shè)定，則以 /etc/logrotate.conf 這個文件的規(guī)定來指定為默認(rèn)值！

好了，剛剛我們提到 logrotate 的主要功能就是將舊的登錄文件移動成舊檔， 并且重新建立一個新的空的文件來記錄，他的執(zhí)行結(jié)果有點(diǎn)類似底下的圖示：

那么多久進(jìn)行一次這樣的 logrotate 工作呢？這些都記錄在 logrotate.conf 里面，我們來看一下預(yù)設(shè)的 logrotate 的內(nèi)容吧

[root@study ~]# vim /etc/logrotate.conf
# 底下的設(shè)定是 "logrotate 的預(yù)設(shè)設(shè)定值" ，如果個別的文件設(shè)定了其他的參數(shù)，
# 則將以個別的文件設(shè)定為主，若該文件沒有設(shè)定到的參數(shù)則以這個文件的內(nèi)容為默認(rèn)值！
weekly <==預(yù)設(shè)每個禮拜對登錄檔進(jìn)行一次 rotate 的工作
rotate 4 <==保留幾個登錄檔呢？預(yù)設(shè)是保留四個！
create <==由于登錄檔被更名，因此建立一個新的來繼續(xù)儲存之意！
dateext <==就是這個設(shè)定值！可以讓被輪替的文件名加上日期作為檔名喔！
#compress <==被更動的登錄檔是否需要壓縮？如果登錄檔太大則可考慮此參數(shù)啟動
include /etc/logrotate.d
# 將 /etc/logrotate.d/ 這個目錄中的所有文件都讀進(jìn)來執(zhí)行 rotate 的工作！
/var/log/wtmp { <==僅針對 /var/log/wtmp 所設(shè)定的參數(shù)monthly <==每個月一次，取代每周！create 0664 root utmp <==指定新建文件的權(quán)限與所屬賬號/群組minsize 1M <==文件容量一定要超過 1M 后才進(jìn)行 rotate (略過時間參數(shù))rotate 1 <==僅保留一個，亦即僅有 wtmp.1 保留而已。
}
# 這個 wtmp 可記錄登入者與系統(tǒng)重新啟動時的時間與來源主機(jī)及登入期間的時間。
# 由于具有 minsize 的參數(shù)，因此不見得每個月一定會進(jìn)行一次喔！要看文件容量。
# 由于僅保留一個登錄檔而已，不滿意的話可以將他改成 rotate 5 吧！

一般來說，這個 /etc/logrotate.conf 是『預(yù)設(shè)的輪替狀態(tài)』而已， 我們的各個服務(wù)都可以擁有自己的登錄檔輪替設(shè)定，你也可以自行修改成自己喜歡的樣式啊！ 例如，如果你的系統(tǒng)的空間夠大，并且擔(dān)心除錯以及黑客的問題，那么可以：

• 將 rotate 4 改成 rotate 9 左右，以保存較多的備份文件。不過如果已經(jīng)加上 dateext 的參數(shù)，那這個項(xiàng)目就不用更動了！
• 大部分的登錄檔不需要 compress 啰！但是空間太小就需要 compress ！尤其是很占硬盤空間的 httpd 更需要 compress 的！

好了，上面我們大致介紹了 /var/log/wtmp 這個文件的設(shè)定，現(xiàn)在你知道了 logrotate.conf 的設(shè)定語法是：

登錄文件的絕對路徑文件名 ... {
個別的參數(shù)設(shè)定值，如 monthly, compress 等等
}

底下我們再以 /etc/logrotate.d/syslog 這個輪替 rsyslog.service 服務(wù)的文件，來看看該如何設(shè)定他的rotate 呢？

[root@study ~]# vim /etc/logrotate.d/syslog
/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{sharedscriptspostrotate/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || trueendscript
}

在上面的語法當(dāng)中，我們知道正確的 logrotate 的寫法為：

• 檔名：被處理的登錄文件絕對路徑文件名寫在前面，可以使用空格符分隔多個登錄檔；
• 參數(shù)：上述檔名進(jìn)行輪替的參數(shù)使用 { } 包括起來；
• 執(zhí)行腳本：可呼叫外部指令來進(jìn)行額外的命令下達(dá)，這個設(shè)定需與 sharedscripts … endscript 設(shè)定合用才行。
  至于可用的環(huán)境為：
  • prerotate：在啟動 logrotate 之前進(jìn)行的指令，例如修改登錄文件的屬性等動作；
  • postrotate：在做完 logrotate 之后啟動的指令，例如重新啟動 (kill -HUP) 某個服務(wù)！
  • Prerotate 與 postrotate 對于已加上特殊屬性的文件處理上面，是相當(dāng)重要的執(zhí)行程序！

那么 /etc/logrotate.d/syslog 內(nèi)設(shè)定的 5 個文件的輪替功能就變成了：

• 該設(shè)定只對 /var/log/ 內(nèi)的 cron, maillog, messages, secure, spooler 有效；
• 登錄檔輪替每周一次、保留四個、且輪替下來的登錄檔不進(jìn)行壓縮(未更改默認(rèn)值)；
• 輪替完畢后 (postrotate) 取得 syslog 的 PID 后，以 kill -HUP 重新啟動 syslogd

假設(shè)我們有針對/var/log/messages這個文件增加chattr +a的屬性時， 依據(jù) logrotate 的工作原理，我們知道，這個 /var/log/messages 將會被更名成為 /var/log/messages.1 才是。但是由于加上這個 +a 的參數(shù)啊，所以更名是不可能成功的！ 那怎么辦呢？呵呵！就利用prerotate 與 postrotate 來進(jìn)行登錄檔輪替前、后所需要作的動作啊！ 果真如此時，那么你可以這樣修改一下這個文件喔！

[root@study ~]# vim /etc/logrotate.d/syslog
/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{sharedscriptsprerotate/usr/bin/chattr -a /var/log/messagesendscriptsharedscriptspostrotate/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true/usr/bin/chattr +a /var/log/messagesendscript
}

看到否？就是先給他去掉 a 這個屬性，讓登錄文件 /var/log/messages 可以進(jìn)行輪替的動作， 然后執(zhí)行了輪替之后，再給他加入這個屬性！請?zhí)貏e留意的是，那個 /bin/kill -HUP … 的意義，這一行的目的在于將系統(tǒng)的 rsyslogd 重新以其參數(shù)檔 (rsyslog.conf) 的資料讀入一次！也可以想成是 reload 的意思啦！ 由于我們建立了一個新的空的記錄文件，如果不執(zhí)行此一行來重新啟動服務(wù)的話， 那么記錄的時候?qū)l(fā)生錯誤呦！

實(shí)際測試 logrotate 的動作

好了，設(shè)定完成之后，我們來測試看看這樣的設(shè)定是否可行呢？給他執(zhí)行底下的指令：

[root@study ~]# logrotate [-vf] logfile
選項(xiàng)與參數(shù)：
-v ：啟動顯示模式，會顯示 logrotate 運(yùn)作的過程喔！
-f ：不論是否符合配置文件的數(shù)據(jù)，強(qiáng)制每個登錄檔都進(jìn)行 rotate 的動作！

# 范例一：執(zhí)行一次 logrotate 看看整個流程為何？
[root@study ~]# logrotate -v /etc/logrotate.conf
reading config file /etc/logrotate.conf <==讀取主要配置文件
including /etc/logrotate.d <==呼叫外部的設(shè)定
reading config file chrony <==就是外部設(shè)定啊！
....(中間省略)....
Handling 18 logs <==共有 18 個登錄文件被記錄
....(中間省略)....
rotating pattern: /var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
weekly (52 rotations)
empty log files are not rotated, old logs are removed
considering log /var/log/cronlog does not need rotating
considering log /var/log/mailloglog does not need rotating
considering log /var/log/messages <==開始處理 messageslog does not need rotating <==因?yàn)闀r間未到，不需要更動！
....(底下省略)....

# 范例二：強(qiáng)制進(jìn)行 logrotate 的動作
[root@study ~]# logrotate -vf /etc/logrotate.conf
....(前面省略)....
rotating log /var/log/messages, log->rotateCount is 52
dateext suffix '-20150820'
glob pattern '-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]'
compressing log with: /bin/gzip
....(底下省略)....
# 看到否？整個 rotate 的動作就是這樣一步一步進(jìn)行的～
[root@study ~]# ll /var/log/messages*; lsattr /var/log/messages
-rw-------. 1 root root 143 Aug 20 01:45 /var/log/messages
-rw-------. 1 root root 167125 Aug 20 01:40 /var/log/messages-20150820
-----a---------- /var/log/messages <==主動加入 a 的隱藏屬性啰！

上面那個 -f 具有『強(qiáng)制執(zhí)行』的意思，如果一切的設(shè)定都沒有問題的話，那么理論上，你的 /var/log 這個目錄就會起變化啰！而且應(yīng)該不會出現(xiàn)錯誤訊息才對！嘿嘿！這樣就 OK 了！很棒不是嗎？！

由于 logrotate 的工作已經(jīng)加入 crontab 里頭了！所以現(xiàn)在每天系統(tǒng)都會自動的給他查看 logrotate 啰！不用擔(dān)心的啦！只是要注意一下那個 /var/log/messages 里頭是否常常有類似底下的字眼：
Aug 20 01:45:34 study rsyslogd: [origin software="rsyslogd" swVersion="7.4.7" x-pid="2145" x-info="http://www.rsyslog.com"] rsyslogd was HUPed
這說明的是 rsyslogd 重新啟動的時間啦 (就是因?yàn)?/etc/logrotate.d/syslog 的設(shè)定之緣故！)

自定義登錄文件的輪替功能

假設(shè)前提是這樣的，前一小節(jié)當(dāng)中，假設(shè)你已經(jīng)建立了 /var/log/admin.log 這個文件， 現(xiàn)在，你想要將該文件加上 +a 這個隱藏標(biāo)簽，而且設(shè)定底下的相關(guān)信息：

• 登錄檔輪替一個月進(jìn)行一次；
• 該登錄檔若大于 10MB 時，則主動進(jìn)行輪替，不需要考慮一個月的期限；
• 保存五個備份文件；
• 備份文件需要壓縮

# 1. 先建立 +a 這個屬性啊！
[root@study ~]# chattr +a /var/log/admin.log
[root@study ~]# lsattr /var/log/admin.log
-----a---------- /var/log/admin.log
[root@study ~]# mv /var/log/admin.log /var/log/admin.log.1
mv: cannot move `/var/log/admin.log' to '/var/log/admin.log.1': Operation not permitted
# 這里確定了加入 a 的隱藏屬性！所以 root 無法移動此登錄檔！# 2. 開始建立 logrotate 的配置文件，增加一個文件在 /etc/logrotate.d 內(nèi)就對了！
[root@study ~]# vim /etc/logrotate.d/admin
# This configuration is from VBird 2015/08/19
/var/log/admin.log {monthly <==每個月進(jìn)行一次size=10M <==文件容量大于 10M 則開始處置rotate 5 <==保留五個！compress <==進(jìn)行壓縮工作！sharedscriptsprerotate/usr/bin/chattr -a /var/log/admin.logendscriptsharedscriptspostrotate/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true/usr/bin/chattr +a /var/log/admin.logendscript
}# 3. 測試一下 logrotate 相關(guān)功能的信息顯示：
[root@study ~]# logrotate -v /etc/logrotate.conf
....(前面省略)....
rotating pattern: /var/log/admin.log 10485760 bytes (5 rotations)
empty log files are rotated, old logs are removed
considering log /var/log/admin.loglog does not need rotating
not running prerotate script, since no logs will be rotated
not running postrotate script, since no logs were rotated
....(底下省略)....
# 因?yàn)檫€不足一個月，文件也沒有大于 10M，所以不需進(jìn)行輪替！# 4. 測試一下強(qiáng)制 logrotate 與相關(guān)功能的信息顯示：
[root@study ~]# logrotate -vf /etc/logrotate.d/admin
reading config file /etc/logrotate.d/admin
reading config file /etc/logrotate.d/admin
Handling 1 logs
rotating pattern: /var/log/admin.log forced from command line (5 rotations)
empty log files are rotated, old logs are removed
considering log /var/log/admin.loglog needs rotating
rotating log /var/log/admin.log, log->rotateCount is 5
dateext suffix '-20150820'
glob pattern '-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]'
renaming /var/log/admin.log.5.gz to /var/log/admin.log.6.gz (rotatecount 5, logstart 1, i 5),
old log /var/log/admin.log.5.gz does not exist
renaming /var/log/admin.log.4.gz to /var/log/admin.log.5.gz (rotatecount 5, logstart 1, i 4),
old log /var/log/admin.log.4.gz does not exist
renaming /var/log/admin.log.3.gz to /var/log/admin.log.4.gz (rotatecount 5, logstart 1, i 3),
old log /var/log/admin.log.3.gz does not exist
renaming /var/log/admin.log.2.gz to /var/log/admin.log.3.gz (rotatecount 5, logstart 1, i 2),
old log /var/log/admin.log.2.gz does not exist
renaming /var/log/admin.log.1.gz to /var/log/admin.log.2.gz (rotatecount 5, logstart 1, i 1),
old log /var/log/admin.log.1.gz does not exist
renaming /var/log/admin.log.0.gz to /var/log/admin.log.1.gz (rotatecount 5, logstart 1, i 0),
old log /var/log/admin.log.0.gz does not exist
log /var/log/admin.log.6.gz doesn't exist -- won't try to dispose of it
running prerotate script
fscreate context set to system_u:object_r:var_log_t:s0
renaming /var/log/admin.log to /var/log/admin.log.1
running postrotate script
compressing log with: /bin/gzip
[root@study ~]# lsattr /var/log/admin.log*
-----a---------- /var/log/admin.log
---------------- /var/log/admin.log.1.gz <==有壓縮過喔！

36.4 systemd-journald.service 簡介

有了 systemd 之后，由于這玩意兒是核心喚醒的，然后又是第一支執(zhí)行的軟件，它可以主動呼叫 systemd-journald 來協(xié)助記載登錄文件～ 因此在開機(jī)過程中的所有信息，包括啟動服務(wù)與服務(wù)若啟動失敗的情況等等，都可以直接被記錄到 systemd-journald 里頭去！

不過 systemd-journald 由于是使用于內(nèi)存的登錄文件記錄方式，因此重新啟動過后，開機(jī)前的登錄文件信息當(dāng)然就不會被記載了。 為此，我們還是建議啟動 rsyslogd 來協(xié)助分類記錄！也就是說，systemd-journald 用來管理與查詢這次開機(jī)后的登錄信息，而 rsyslogd 可以用來記錄以前及現(xiàn)在的所以數(shù)據(jù)到磁盤文件中，方便未來進(jìn)行查詢喔！

雖然 systemd-journald 所記錄的數(shù)據(jù)其實(shí)是在內(nèi)存中，但是系統(tǒng)還是利用文件的型態(tài)將它記錄到 /run/log/ 底下！ 不過我們從前面幾章也知道， /run 在 CentOS 7 其實(shí)是內(nèi)存內(nèi)的數(shù)據(jù)，所以重新啟動過后，這個 /run/log 底下的數(shù)據(jù)當(dāng)然就被刷新，舊的當(dāng)然就不再存在了！

使用 journalctl 觀察登錄信息

那么 systemd-journald.service 的數(shù)據(jù)要如何叫出來查閱呢？很簡單！就透過 journalctl 即可！讓我們來瞧瞧這個指令可以做些什么事？

[root@study ~]# journalctl [-nrpf] [--since TIME] [--until TIME] _optional
選項(xiàng)與參數(shù)：
預(yù)設(shè)會秀出全部的 log 內(nèi)容，從舊的輸出到最新的訊息
-n ：秀出最近的幾行的意思～找最新的信息相當(dāng)有用
-r ：反向輸出，從最新的輸出到最舊的數(shù)據(jù)
-p ：秀出后面所接的訊息重要性排序！請參考前一小節(jié)的 rsyslogd 信息
-f ：類似 tail -f 的功能，持續(xù)顯示 journal 日志的內(nèi)容(實(shí)時監(jiān)測時相當(dāng)有幫助！)
--since --until：設(shè)定開始與結(jié)束的時間，讓在該期間的數(shù)據(jù)輸出而已
_SYSTEMD_UNIT=unit.service ：只輸出 unit.service 的信息而已
_COMM=bash ：只輸出與 bash 有關(guān)的信息
_PID=pid ：只輸出 PID 號碼的信息
_UID=uid ：只輸出 UID 為 uid 的信息
SYSLOG_FACILITY=[0-23] ：使用 syslog.h 規(guī)范的服務(wù)相對序號來呼叫出正確的數(shù)據(jù)！

# 范例一：秀出目前系統(tǒng)中所有的 journal 日志數(shù)據(jù)
[root@study ~]# journalctl
-- Logs begin at Mon 2015-08-17 18:37:52 CST, end at Wed 2015-08-19 00:01:01 CST. --
Aug 17 18:37:52 study.centos.vbird systemd-journal[105]: Runtime journal is using 8.0M (max
142.4M, leaving 213.6M of free 1.3G, current limit 142.4M).
Aug 17 18:37:52 study.centos.vbird systemd-journal[105]: Runtime journal is using 8.0M (max
142.4M, leaving 213.6M of free 1.3G, current limit 142.4M).
Aug 17 18:37:52 study.centos.vbird kernel: Initializing cgroup subsys cpuset
Aug 17 18:37:52 study.centos.vbird kernel: Initializing cgroup subsys cpu
.....(中間省略).....
Aug 19 00:01:01 study.centos.vbird run-parts(/etc/cron.hourly)[19268]: finished 0anacron
Aug 19 00:01:01 study.centos.vbird run-parts(/etc/cron.hourly)[19270]: starting 0yum-hourly.cron
Aug 19 00:01:01 study.centos.vbird run-parts(/etc/cron.hourly)[19274]: finished 0yum-hourly.cron
# 從這次開機(jī)以來的所有數(shù)據(jù)都會顯示出來！透過 less 一頁頁翻動給管理員查閱！資料量相當(dāng)大！# 范例二：(1)僅顯示出 2015/08/18 整天以及(2)僅今天及(3)僅昨天的日志數(shù)據(jù)內(nèi)容
[root@study ~]# journalctl --since "2015-08-18 00:00:00" --until "2015-08-19 00:00:00"
[root@study ~]# journalctl --since today
[root@study ~]# journalctl --since yesterday --until today# 范例三：只找出 crond.service 的數(shù)據(jù)，同時只列出最新的 10 筆即可
[root@study ~]# journalctl _SYSTEMD_UNIT=crond.service -n 10# 范例四：找出 su, login 執(zhí)行的登錄檔，同時只列出最新的 10 筆即可
[root@study ~]# journalctl _COMM=su _COMM=login -n 10# 范例五：找出訊息嚴(yán)重等級為錯誤 (error) 的訊息！
[root@study ~]# journalctl -p err# 范例六：找出跟登錄服務(wù) (auth, authpriv) 有關(guān)的登錄文件訊息
[root@study ~]# journalctl SYSLOG_FACILITY=4 SYSLOG_FACILITY=10
# 更多關(guān)于 syslog_facility 的數(shù)據(jù)，請參考 18.2.1 小節(jié)的內(nèi)容啰！

你想要了解到登錄檔的實(shí)時變化， 那又該如何處置呢？現(xiàn)在，請開兩個終端機(jī)，讓我們來處理處理！

# 第一號終端機(jī)，請使用底下的方式持續(xù)偵測系統(tǒng)！
[root@study ~]# journalctl -f
# 這時系統(tǒng)會好像卡住～其實(shí)不是卡住啦！是類似 tail -f 在持續(xù)的顯示登錄文件信息的！
# 第二號終端機(jī)，使用底下的方式隨便發(fā)一封 email 給系統(tǒng)上的賬號！
[root@study ~]# echo "testing" | mail -s 'tset' dmtsai
# 這時，你會發(fā)現(xiàn)到第一號終端機(jī)竟然一直輸出一些訊息吧！沒錯！這就對了！

logger 指令的應(yīng)用

『如果你想要讓你的數(shù)據(jù)儲存到登錄文件當(dāng)中』呢？那該如何是好？ 這時就得要使用 logger 這個好用的家伙了！這個家伙可以傳輸很多信息，不過，我們只使用最簡單的本機(jī)信息傳遞～ 更多的用法就請您自行 man logger 啰！

[root@study ~]# logger [-p 服務(wù)名稱.等級] "訊息"
選項(xiàng)與參數(shù)：
服務(wù)名稱.等級 ：這個項(xiàng)目請參考 rsyslogd 的本章后續(xù)小節(jié)的介紹；

# 范例一：指定一下，讓 dmtsai 使用 logger 來傳送數(shù)據(jù)到登錄文件內(nèi)
[root@study ~]# logger -p user.info "I will check logger command"
[root@study ~]# journalctl SYSLOG_FACILITY=1 -n 3
-- Logs begin at Mon 2015-08-17 18:37:52 CST, end at Wed 2015-08-19 18:03:17 CST. --
Aug 19 18:01:01 study.centos.vbird run-parts(/etc/cron.hourly)[29710]: starting 0yum-hourly.cron
Aug 19 18:01:01 study.centos.vbird run-parts(/etc/cron.hourly)[29714]: finished 0yum-hourly.cron
Aug 19 18:03:17 study.centos.vbird dmtsai[29753]: I will check logger command

讓我們來瞧一瞧，如果我們之前寫的 backup.service 服務(wù)中，如果使用手動的方式來備份，亦即是使用 “/backups/backup.sh log” 來執(zhí)行備份時， 那么就透過 logger 來記錄備份的開始與結(jié)束的時間！該如何是好呢？這樣作看看！

[root@study ~]# vim /backups/backup.sh
#!/bin/bash
if [ "${1}" == "log" ]; thenlogger -p syslog.info "backup.sh is starting"
fi
source="/etc /home /root /var/lib /var/spool/{cron,at,mail}"
target="/backups/backup-system-$(date +%Y-%m-%d).tar.gz"
[ ! -d /backups ] && mkdir /backups
tar -zcvf ${target} ${source} &> /backups/backup.log
if [ "${1}" == "log" ]; thenlogger -p syslog.info "backup.sh is finished"
fi
[root@study ~]# /backups/backup.sh log
[root@study ~]# journalctl SYSLOG_FACILITY=5 -n 3
Aug 19 18:09:37 study.centos.vbird dmtsai[29850]: backup.sh is starting
Aug 19 18:09:54 study.centos.vbird dmtsai[29855]: backup.sh is finished

透過這個玩意兒，我們也能夠?qū)?shù)據(jù)自行處置到登錄文件當(dāng)中啰！

保存 journal 的方式

再強(qiáng)調(diào)一次，這個 systemd-journald.servicd 的訊息是不會放到下一次開機(jī)后的，所以，重新啟動后，那之前的記錄通通會遺失。 雖然我們大概都有啟動 rsyslogd 這個服務(wù)來進(jìn)行后續(xù)的登錄檔放置，不過如果你比較喜歡 journalctl 的存取方式，那么可以將這些數(shù)據(jù)儲存下來喔！

基本上，systemd-journald.service 的配置文件主要參考 /etc/systemd/journald.conf 的內(nèi)容，詳細(xì)的參數(shù)你可以參考 man 5 journald.conf 的資料。 因?yàn)轭A(yù)設(shè)的情況底下，配置文件的內(nèi)容應(yīng)該已經(jīng)符合我們的需求，所以這邊鳥哥就不再修改配置文件了。只是如果想要保存你的 journalctl 所讀取的登錄檔，那么就得要建立一個 /var/log/journal 的目錄，并且處理一下該目錄的權(quán)限，那么未來重新啟動systemd-journald.service 之后， 日志登錄文件就會主動的復(fù)制一份到 /var/log/journal 目錄下啰！

# 1. 先處理所需要的目錄與相關(guān)權(quán)限設(shè)定
[root@study ~]# mkdir /var/log/journal
[root@study ~]# chown root:systemd-journal /var/log/journal
[root@study ~]# chmod 2775 /var/log/journal
# 2. 重新啟動 systemd-journald 并且觀察備份的日志數(shù)據(jù)！
[root@study ~]# systemctl restart systemd-journald.service
[root@study ~]# ll /var/log/journal/
drwxr-sr-x. 2 root systemd-journal 27 Aug 20 02:37 309eb890d09f440681f596543d95ec7a

其實(shí)鳥哥是這樣想的，既然我們還有 rsyslog.service 以及 logrotate 的存在，因此這個systemd-journald.service 產(chǎn)生的登錄檔， 個人建議最好還是放置到 /run/log 的內(nèi)存當(dāng)中，以加快存取的速度！而既然 rsyslog.service 可以存放我們的登錄檔， 似乎也沒有必要再保存一份 journal 登錄文件到系統(tǒng)當(dāng)中就是了。單純的建議！如何處理，依照您的需求即可喔！

36.5 分析登錄檔

登錄檔的分析是很重要的！你可以自行以 vim 或者是 journalctl 進(jìn)入登錄文件去查閱相關(guān)的信息。而系統(tǒng)也提供一些軟件可以讓你從登錄文件中取得資料， 例如之前談過的 last, lastlog, dmesg 等等指令。不過，這些數(shù)據(jù)畢竟都非常的分散，如果你想要一口氣讀取所有的登錄信息， 其實(shí)有點(diǎn)困擾的。不過，好在 CentOS 有提供 logwatch 這個登錄文件分析程序，你可以藉由該程序來了解登錄文件信息。 此外，鳥哥也依據(jù) Red Hat 系統(tǒng)的 journalctl 搭配 syslog 函數(shù)寫了一支小程序給大家使用喔

CentOS 預(yù)設(shè)提供的 logwatch

安裝

yum install -y logwatch

安裝完畢以后，logwatch 就已經(jīng)寫入 cron 的運(yùn)作當(dāng)中了！詳細(xì)的執(zhí)行方式你可以參考上表中0logwatch 文件內(nèi)容來處理，未來則每天會送出一封 email 給 root 查閱就是了。因?yàn)槲覀儎倓偘惭b，那可以來分析一下嗎？很簡單啦！你就直接執(zhí)行 0logwatch 即可啊！如上表最后一個指令的示意。因?yàn)轼B哥的測試機(jī)目前的服務(wù)很少， 所以產(chǎn)生的信息量也不多，因此執(zhí)行的速度很快。比較忙的系統(tǒng)信息量比較大，分析過程會花去一小段時間。如果順利執(zhí)行完畢，那請用 root 的身份去讀一下email 啰！

該系列目錄 --> 【BASH】回顧與知識點(diǎn)梳理（目錄）