Linux操作系統(tǒng)中日志系統(tǒng)功能詳解

　　Linux系統(tǒng)擁有非常靈活和強(qiáng)大的日志功能，可以保存幾乎所有的操作記錄，并可以從中檢索出我們需要的信息。小編為大家分享了Linux操作系統(tǒng)中日志系統(tǒng)功能詳解，下面大家跟著學(xué)習(xí)啦小編一起來了解一下吧。

　　Linux操作系統(tǒng)中日志系統(tǒng)功能詳解

　　每個(gè)操作系統(tǒng)中都有自己的強(qiáng)大的日志功能，windows有，而linux同樣也有;linux操作系統(tǒng)中的日志功能主要通過服務(wù)syslog來實(shí)現(xiàn)(RedHat6.0以后使用的是syslog-ng)，而syslog服務(wù)下有兩個(gè)進(jìn)程syslogd和klogd，這兩個(gè)進(jìn)程一個(gè)用來記錄系統(tǒng)日志信息，一個(gè)用來記錄內(nèi)核日志信息;但是操作系統(tǒng)在運(yùn)行中會產(chǎn)生非常多的日志信息，如果我們將這些信息都記錄下來的話，那我們的磁盤I/O一定很繁忙，這對系統(tǒng)的性能有很大的影響，這就有違了我們的初衷，所以我們根據(jù)產(chǎn)生日志的來源和日志信息的重要性，將系統(tǒng)運(yùn)行中所產(chǎn)生的日志進(jìn)行分類;syslogd和klogd兩個(gè)進(jìn)程所記錄的日志信息和詳細(xì)程度又各有不同：

　　Klogd：記錄了系統(tǒng)初始化時(shí)所產(chǎn)生并顯示在物理終端上的信息，并保存在”/var/log/dmesg”文件中，我們可以使用“cat /var/log/dmesg”進(jìn)行查看，也可以使用專門的命令“dmesg”進(jìn)行查看

　　Syslogd：在系統(tǒng)初始化完成，將系統(tǒng)控制權(quán)轉(zhuǎn)交給init，此時(shí)產(chǎn)生的日志信息都有syslogd記錄，并存放在“/var/log/messages”文件中，主要保存的信息有“系統(tǒng)標(biāo)準(zhǔn)錯(cuò)誤日志信息，非內(nèi)核產(chǎn)生的引導(dǎo)信息，各個(gè)服務(wù)程序的子系統(tǒng)產(chǎn)生的信息等等”;在監(jiān)控系統(tǒng)運(yùn)行時(shí)一般使用“# tail -f /var/log/messages”來監(jiān)控新生成的日志信息

　　但是系統(tǒng)運(yùn)行中所產(chǎn)生的信息非常多，即使只記錄這些信息，也有很大量;此時(shí)如果我們?nèi)匀粚⑺腥罩拘畔⒍急４嬖谝粋€(gè)messages文件中，那么管理起來就非常困難了;那這怎么辦呢?我們引進(jìn)了另外一種技術(shù)“日志滾動”

　　日志滾動：當(dāng)日志messages文件大小或時(shí)間到一定程度之后，將這個(gè)文件定義為messages.1，并重新創(chuàng)建一個(gè)新的messages文件，此時(shí)messages.1不再記錄新的內(nèi)容，只是存放以前的內(nèi)容，如果新的messages文件再次達(dá)到這個(gè)標(biāo)準(zhǔn)之后，現(xiàn)在這個(gè)messages文件重命名為messages.1，原有的messages.1命名為messages.2，這樣依次類推;但是這樣一直滾動下去，很久以前的日志信息對我們現(xiàn)在管理已經(jīng)沒有很大用處了，所以我們可以定義只保留滾動多少次的日志文件;所以日志信息我們應(yīng)該經(jīng)常滾動，且一般定義多個(gè)標(biāo)準(zhǔn)

　　日志的滾動就是將這個(gè)日志文件進(jìn)行切割，在redhat上有一個(gè)專門的命令可以完成這個(gè)動作：logrotate;系統(tǒng)上有一個(gè)專門的系統(tǒng)任務(wù)計(jì)劃來完成日志切割“/etc/cron.daily”下有一個(gè)腳本叫做logrotate，這個(gè)命令的配置文件在“etc/logrotate.conf”下(定義了系統(tǒng)的日志滾動機(jī)制)

　　內(nèi)容格式是：

　　weekly #全局定義每周滾動一次

　　rotate 4 #只保留四個(gè)滾動版本

　　include /etc/logrotate.d #上面幾行是日志系統(tǒng)全局屬性，下面是各個(gè)小系統(tǒng)的具體屬性，執(zhí)行時(shí)以局部屬性為準(zhǔn);局部日志屬性可定義多個(gè)

　　/var/log/wtmp { #定義這個(gè)子系統(tǒng)自己的日志滾動機(jī)制，日志存放文件

　　monthly #多長時(shí)間滾動一個(gè)

　　minsize 1M #日志文件最小1M

　　create 0664 root utmp #創(chuàng)建一個(gè)文件，權(quán)限是0664，屬主是root，文件名是utmp

　　rotate 1 #只保留一個(gè)滾動版本

　　}

　　日志滾動的腳本文件：# vim /etc/cron.daily/logrotate

　　如果不自己定義，則按照全局定義的日志滾動屬性，也可以在“/etc/logrotate.d/cups”文件下定義：

　　一些其他子系統(tǒng)產(chǎn)生的日志信息保存位置：

　　/var/maillog #郵件系統(tǒng)產(chǎn)生的日志信息

　　/var/log/secure #每個(gè)用戶在登錄時(shí)所產(chǎn)生的安全信息(什么時(shí)間誰以哪個(gè)用戶來自哪個(gè)主機(jī)嘗試登錄，嘗試了幾次，這個(gè)文件經(jīng)常查看)

　　syslog的配置文件在：/etc/syslog.conf