Linux日志管理

目录

一、Linux日志系统概述

1.1 日志的重要性

1.2 日志分类

二、核心日志管理工具

2.1 syslog（传统系统日志）

2.1.1 配置文件

2.1.2 配置语法

2.1.3 优先级说明

2.1.4 应用场景

2.2 rsyslog（增强型系统日志）

2.2.1 核心特性

2.2.2 配置文件结构

2.2.3 高级功能配置示例

2.2.4 应用场景

2.3 journald（systemd日志系统）

2.3.1 核心特性

2.3.2 配置文件

2.3.3 常用配置参数

Storage=persistent          # 存储方式（persistent/volatile）Compress=yes                # 启用压缩SystemMaxUse=1G             # 最大磁盘使用量SystemMaxFileSize=100M      # 单个文件最大尺寸MaxRetentionSec=1month      # 日志保留时间

2.3.4 常用命令

2.3.5 应用场景

2.4 logrotate（日志轮转）

2.4.1 配置文件

2.4.2 典型配置示例

2.4.3 核心参数说明

2.4.4 手动执行

2.4.5 应用场景

三、高级日志管理方案

3.1 ELK Stack（分布式日志）

3.1.1 典型架构

3.1.2 Filebeat配置示例

3.2 auditd（安全审计）

3.2.1 核心配置文件

3.2.2 审计规则配置

3.2.3 审计日志查询

四、综合应用案例

4.1 集中式日志服务器搭建（rsyslog）

4.2 日志分析实战

五、故障排查指南

5.1 常见问题处理

六、最佳实践建议

七、总结

---

一、Linux日志系统概述

1.1 日志的重要性

• 系统状态监控

• 故障排查定位

• 安全审计分析

• 性能优化依据

• 合规性要求满足

1.2 日志分类

日志类型	存储位置	典型内容
系统日志	/var/log/messages	内核、系统服务通用日志
认证日志	/var/log/secure	用户登录、sudo操作记录
启动日志	/var/log/boot.log	系统启动过程记录
内核日志	/var/log/kern.log	内核相关事件（Redhat没有）
计划任务日志	/var/log/cron	cron任务执行记录
邮件日志	/var/log/maillog	邮件系统相关操作
应用程序日志	/var/log/{application}/	各应用程序专用日志

二、核心日志管理工具

2.1 syslog（传统系统日志）

2.1.1 配置文件

/etc/syslog.conf

2.1.2 配置语法

# 格式：设备.优先级 动作

auth.*       /var/log/auth.log
*.emerg     *
mail.err    /var/log/mail.err

2.1.3 优先级说明

优先级	数值	说明
emerg	0	系统不可用
alert	1	需要立即采取行动
crit	2	严重情况
err	3	错误条件
warn	4	警告条件
notice	5	正常但重要的事件
info	6	信息性消息
debug	7	调试级信息

2.1.4 应用场景

• 传统Linux系统日志管理

• 兼容性要求高的环境

• 简单日志收集需求

2.2 rsyslog（增强型系统日志）

2.2.1 核心特性

• 支持TCP/UDP传输

• 日志内容过滤

• 模板化输出

• 高性能队列处理

• 支持MySQL/PostgreSQL存储

2.2.2 配置文件结构

/etc/rsyslog.conf

# 模块加载

$ModLoad imuxsock # 本地系统日志
$ModLoad imklog   # 内核日志

# 模板定义

$template MyTemplate,"%timestamp% %hostname% %syslogtag% %msg%\n"

# 规则配置

*.info;mail.none;authpriv.none  /var/log/messages
authpriv.*                      /var/log/secure

# 远程日志配置

*.* @192.168.1.100:514

2.2.3 高级功能配置示例

日志存储到MySQL：

$ModLoad ommysql
*.* :ommysql:localhost,Syslog,rsyslog,password

日志文件切割：

$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat
$FileOwner root
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755

2.2.4 应用场景

• 企业级日志集中管理

• 需要结构化存储的环境

• 高并发日志处理场景

---

2.3 journald（systemd日志系统）

2.3.1 核心特性

• 二进制日志存储

• 结构化日志记录

• 实时日志查询

• 与systemd深度集成

2.3.2 配置文件

/etc/systemd/journald.conf

2.3.3 常用配置参数

Storage=persistent          # 存储方式（persistent/volatile）
Compress=yes                # 启用压缩
SystemMaxUse=1G             # 最大磁盘使用量
SystemMaxFileSize=100M      # 单个文件最大尺寸
MaxRetentionSec=1month      # 日志保留时间

2.3.4 常用命令

# 实时日志监控
journalctl -f

# 按服务查询
journalctl -u nginx.service

# 结构化显示
journalctl -o json-pretty

# 时间范围查询
journalctl --since "2023-07-01" --until "2023-07-10"

2.3.5 应用场景

• 使用systemd的系统

• 需要结构化日志分析

• 实时日志监控需求

---

2.4 logrotate（日志轮转）

2.4.1 配置文件

/etc/logrotate.conf

应用特定配置：/etc/logrotate.d/

2.4.2 典型配置示例

/var/log/nginx/*.log {
    daily
    missingok
    rotate 30
    compress
    delaycompress
    notifempty
    create 0640 www-data adm
    sharedscripts
    postrotate
        systemctl reload nginx
    endscript
}

2.4.3 核心参数说明

参数	作用
daily/weekly	轮转周期
rotate N	保留历史文件数量
compress	启用gzip压缩
delaycompress	延迟压缩前一个日志文件
size 100M	按大小触发轮转
missingok	文件不存在时不报错
create 0640 user group	新日志文件权限设置

2.4.4 手动执行

logrotate -vf /etc/logrotate.d/nginx

2.4.5 应用场景

• 防止日志文件过大

• 自动化日志归档

• 符合存储策略要求

---

三、高级日志管理方案

3.1 ELK Stack（分布式日志）

组件构成：

• Elasticsearch：日志存储与检索

• Logstash：日志收集处理

• Kibana：数据可视化

3.1.1 典型架构

1. Filebeat采集日志

2. Logstash过滤处理

3. Elasticsearch存储

4. Kibana展示分析

3.1.2 Filebeat配置示例

filebeat.inputs:
- type: log
  enabled: true
  paths:
    - /var/log/nginx/*.log

output.logstash:
  hosts: ["logstash:5044"]

3.2 auditd（安全审计）

3.2.1 核心配置文件

/etc/audit/auditd.conf

3.2.2 审计规则配置

监控文件访问
-a exit,always -F path=/etc/passwd -F perm=wa

监控用户登录
-a exit,always -F arch=b64 -S execve -k user_exec

3.2.3 审计日志查询

ausearch -k user_exec -i
aureport -au

四、综合应用案例

4.1 集中式日志服务器搭建（rsyslog）

1. 服务端配置：

1、启用模块
$ModLoad imtcp
$InputTCPServerRun 514

2、定义模板
$template RemoteLogs,"/var/log/remote/%HOSTNAME%/%PROGRAMNAME%.log"

3、应用规则
*.* ?RemoteLogs

客户端配置：

*.* @@192.168.1.100:514

4.2 日志分析实战

1、 查找错误日志
grep -i "error" /var/log/messages

2、统计HTTP状态码
awk '{print $9}' access.log | sort | uniq -c

3、实时监控登录情况
tail -f /var/log/secure | grep "Failed password"

五、故障排查指南

5.1 常见问题处理

1. 日志不写入：

• 检查服务状态：systemctl status rsyslog

• 验证文件权限：ls -l /var/log/messages

• 测试日志生成：logger "Test Message"

1. 配置验证：

rsyslogd -N1  # 检查配置文件语法
journalctl --verify  # 验证日志完整性

存储异常处理：

# 查看磁盘空间
df -h /var

# 查找大文件
du -sh /var/log/*

六、最佳实践建议

1. 日志分级存储策略

2. 定期备份重要日志

3. 实施日志监控告警

4. 敏感信息过滤处理

5. 建立日志保留策略

6. 定期演练日志恢复

附：常用日志分析命令速查表

1、按时间筛选
sed -n '/Jul 15 10:00:00/,/Jul 15 11:00:00/p' messages

2、TOP访问IP统计
awk '{print $1}' access.log | sort | uniq -c | sort -nr | head -20

3、错误率统计
count_total=$(wc -l < access.log)
count_error=$(grep -c ' 5[0-9][0-9] ' access.log)
echo "Error rate: $((count_error*100/count_total))%"

实践内容：

1. 配置rsyslog实现日志分级存储

2. 使用journalctl进行故障诊断

3. 设计并实施日志轮转策略

4. 搭建简易ELK日志分析平台

5. 编写自动化日志分析脚本

七、总结

内容较多，多是背记的，目前理论知识还无法学全，可以先了解在进步学习。