配置Linux日志文件

Posted 2023-04-17

在LINUX操作系统下我们该如何配置Linux日志文件，请LINUX高手能不能详细的介绍一下

　　不要低估日志文件对网络安全的重要作用，因为日志文件能够详细记录系统每天发生的各种各样的事件，用户可以通过日志文件检查错误产生的原因，或者在受到攻击、被入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是审核和监测。配置好的Linux的日志非常强大。对于Linux系统而言，所有的日志文件在/var/log下。默认情况下，Linux的日志文件没有记录FTP的活动。用户可以通过修改/etc/ftpacess让系统记录FTP的一切活动。
　
　　/etc/syslog.conf的格式
　
　　Linux系统的日志文件是可以配置的，在前面的章节中已经介绍了如何定制Apache、wu-ftpd、Sendmail的日志文件。Linux系统的日志文件是由/etc/syslog.conf决定的，用户有必要花时间仔细配置一下/etc/syslog.conf.下面是/etc/syslog.conf的范例：
　
　　
# Log all kernel messages to the kernlog.
# Logging much else clutters up the screen.
kern.*/var/log/kernlog
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none
/var/log/messages
*.warning/var/log/syslog
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.*/var/log/maillog
# Log cron stuff
cron.*/var/log/cron
# Everybody gets emergency messages, plus log them on another
# machine.
*.emerg
# Save mail and news errors of level err and higher in a
# special file.
uucp,news.crit/var/log/spooler
# Save boot messages also to boot.log
local7.*/var/log/boot.log
# INN
news.=crit /var/log/news/news.crit
news.=err /var/log/news/news.err
news.notice /var/log/news/news.notice

.
　
　　可以看出，该配置文件的每一行的第一个字段列出要被记录的信息种类，第二个字段则列出被记录的位置。第一个字段使用下面的格式：facility.level[；facility.level…]
　
　　此处的faciity是产生信息的系统应用程序或工具，level则是这个信息的重要程度。level的重要程度由低到高依次是：debug（调试消息）、info（一般消息）、notice（值得注意的消息）、warning（警告）、err（一般性错误）、crit（严重错误）、alert（或emerg，紧急情况）。
　
　　facility包含有：auth（认证系统，如login或su，即询问用户名和口令）、cron（系统执行定时任务时发出的信息）、daemon（某些系统的守护程序的syslog，如由in.ftpd产生的log）、kern（内核的信息）、lpr（打印机的信息）、mail（处理邮件的守护进程发出的信息）、mark（定时发送消息的时标程序）、news（新闻组的守护进程的信息）、user（本地用户的应用程序的信息）、uucp（uucp子系统的信息）和“*”（表示所有可能的facility）。
　
　　将日志文件记录到远程主机
　
　　如果有另一个Linux或UNIX系统，那么可以配置日志文件，让其把消息发到另外一个系统并记录下来。这也是为什么上面的所有日志文件都记录了主机名的原因。要实现这个功能，在该配置文件中，指定一个记录动作，后面接一个由“@”开头的远程系统的主机名，如下例：*.warn；authpriv.notice；auth.notice @bright.hacker.com.cn
　
　　同时，还要将接受消息的目的系统设置为允许这种操作。此例主机bright.hacker.com.cn的syslogd守护进程要用-r参数启动。如果不使用-r参数，则目标主机的syslogd将丢弃这个消息以避免DoS攻击使硬盘塞满虚假消息。并且确保目标主机的/etc/service文件必须设置syslog服务所使用的UDP端口514（这也是RedHat Linux默认的设置）。如果syslogd守护进程用了-r和-h参数，那么，参数-h将允许转发消息。也就是说，如果系统B的syslogd用了-h参数，这样，当系统A把消息转发到系统B后，系统B就把来自系统A和它自己的消息转发到系统C.
　
　　将警告信息发送到控制台
　
　　syslogd可以将任何从内核发出的重要程度为emerg或alert的信息发送到控制台。控制台是指虚拟控制台或启动时加-C参数的xterm.要实现这一功能，在/etc/syslog.conf文件中加上下面一行：kern.emerg /dev/console
　
　　这样，当系统内核发生错误而发出消息时，用户能够马上知道并且进行处理。如果用了“*”，就是一旦内核发生错误，就将消息发送给所有在线用户，但只有这个用户正在登录的时候才能看到。修改了/etc/syslog.conf文件后，必须重新启动syslogd守护进程以使配置更改生效，请执行下面的命令：#/etc/rc.d/init.d/syslog restart 参考技术A inux系统日志相关配置文件为/etc/syslog.conf，以下是对配置文件各项配置 的
详细解释，如需修改修改对应配置项即可。

1：//将info或更高级别的消息送到/var/log/messages，除了mail以外。
//其中*是通配符，代表任何设备；none表示不对任何级别的信息进行记录。
*.info;mail.none;authpriv.none /var/log/messages
2：//将authpirv设备的任何级别的信息记录到/var/log/secure文件中，这主要是一些和认、权限使用相关的信息。
authpriv.* /var/log/secure
3：//将mail设备中的任何级别的信息记录到/var/log/maillog文件中，这主要是和电子邮件相关的信息。
mail.* /var/log/maillog
4：//将cron设备中的任何级别的信息记录到/var/log/cron文件中，这主要是和系统中定期执行的任务相关的信息。
cron.* /var/log/cron
5：//将任何设备的emerg级别的信息发送给所有正在系统上的用户。
*.emerg *
6：//将uucp和news设备的crit级别的信息记录到/var/log/spooler文件中。
uucp,news.crit /var/log/spooler
7: //将和系统启动相关的信息记录到/var/log/boot.log文件中。
local7.* /var/log/boot.log 参考技术B 　日志也应该是用户注意的地方。不要低估日志文件对网络安全的重要作用，因为日志文件能够详细记录系统每天发生的各种各样的事件，用户可以通过日志文件检查错误产生的原因，或者在受到攻击、被入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是审核和监测。配置好的Linux的日志非常强大。对于Linux系统而言，所有的日志文件在/var/log下。默认情况下，Linux的日志文件没有记录FTP的活动。用户可以通过修改/etc/ftpacess让系统记录FTP的一切活动

Linux下玩转nginx系列---nginx日志配置文件说明

nginx日志共三个参数。

access_log: 定义日志的路径及格式。

log_format: 定义日志的模板。

open_log_file_cache: 定义日志文件缓存。

nginx access日志配置

access_log日志配置

access_log用来定义日志级别，日志位置。语法如下：
日志级别： debug > info > notice > warn > error > crit > alert > emerg

• path 指定日志的存放位置。

• format 指定日志的格式。默认使用预定义的combined。

• buffer 用来指定日志写入时的缓存大小。默认是64k。

• gzip 日志写入前先进行压缩。压缩率可以指定，从1到9数值越大压缩比越高，同时压缩的速度也越慢。默认是1。

• flush 设置缓存的有效时间。如果超过flush指定的时间，缓存中的内容将被清空。

• if 条件判断。如果指定的条件计算为0或空字符串，那么该请求不会写入日志。

另外，还有一个特殊的值off。如果指定了该值，当前作用域下的所有的请求日志都被关闭。

示例：

基本用法

该例子指定日志的写入路径为/var/logs/nginx-access.log，日志格式使用默认的combined。

该例子指定日志的写入路径为/var/logs/nginx-access.log，日志格式使用默认的combined，指定日志的缓存大小为32k，日志写入前启用gzip进行压缩，压缩比使用默认值1，缓存数据有效时间为1分钟。

log_format 定义日志格式

• name 格式名称。在access_log指令中引用。

• escape 设置变量中的字符编码方式是json还是default，默认是default。

• string 要定义的日志格式内容。该参数可以有多个。参数中可以使用Nginx变量。

示例：

我们使用log_format指令定义了一个main的格式，并在access_log指令中引用了它。假如客户端有发起请求：https://suyunfe.com/，我们看一下我截取的一个请求的日志记录:

我们看到最终的日志记录中$remote_user、$http_referer、$http_x_forwarded_for都对应了一个-，这是因为这几个变量为空。

设置error_log

错误日志在Nginx中是通过error_log指令实现的。该指令记录服务器和请求处理过程中的错误信息。

• 语法
  配置错误日志文件的路径和日志级别。

第一个参数指定日志的写入位置。
第二个参数指定日志的级别。level可以是debug, info, notice, warn, error, crit, alert,emerg中的任意值。可以看到其取值范围是按紧急程度从低到高排列的。只有日志的错误级别等于或高于level指定的值才会写入错误日志中。默认值是error。

• 基本用法

它可以配置在：main， http, mail, stream, server, location作用域。
例子中指定了错误日志的路径为：/var/logs/nginx/nginx-error.log，日志级别使用默认的error。

常见的日志变量

• $remote_addr, $http_x_forwarded_for 记录客户端IP地址。

• $remote_user记录客户端用户名称。

• $request记录请求的URL和HTTP协议(GET,POST,DEL,等)。

• $status记录请求状态。

• $body_bytes_sent发送给客户端的字节数，不包括响应头的大小； 该变量与Apache模块mod_log_config里的“%B”参数兼容。

• $bytes_sent发送给客户端的总字节数。

• $connection连接的序列号。

• $connection_requests 当前通过一个连接获得的请求数量。

• $msec 日志写入时间。单位为秒，精度是毫秒。

• $pipe如果请求是通过HTTP流水线(pipelined)发送，pipe值为“p”，否则为“.”。

• $http_referer 记录从哪个页面链接访问过来的。

• $http_user_agent记录客户端浏览器相关信息。

• $request_length请求的长度（包括请求行，请求头和请求正文）。

• $request_time 请求处理时间，单位为秒，精度毫秒； 从读入客户端的第一个字节开始，直到把最后一个字符发送给客户端后进行日志写入为止。

• $time_iso8601 ISO8601标准格式下的本地时间。

• $time_local通用日志格式下的本地时间。

open_log_file_cache

使用open_log_file_cache来设置日志文件缓存(默认是off)。

• max 设置缓存中的最大文件描述符数量，如果缓存被占满，采用LRU算法将描述符关闭。

• inactive 设置存活时间，默认是10s。

• min_uses 设置在inactive时间段内，日志文件最少使用多少次后，该日志文件描述符记入缓存中，默认是1次。

• valid 设置检查频率，默认60s。

• off 禁用缓存。

示例

它可以配置在http、server、location作用域中。
例子中，设置缓存最多缓存1000个日志文件描述符，20s内如果缓存中的日志文件描述符至少被被访问2次，才不会被缓存关闭。每隔1分钟检查缓存中的文件描述符的文件名是否还存在。

nginx日志调试技巧

设置 Nginx 仅记录来自于指定的 IP 的错误

当设置日志级别成 debug，如果在调试一个在线的高流量网站的话，错误日志可能会记录每个请求的很多消息，这样会变得毫无意义。
在events...中配置如下内容，可以使 Nginx 记录仅仅来自于指定的 IP 的错误日志。

调试 nginx rewrite 规则

调试rewrite规则时，如果规则写错只会看见一个404页面，可以在配置文件中开启nginx rewrite日志，进行调试。

rewrite_log on; 开启后，它将发送所有的 rewrite 相关的日志信息到 error_log 文件中，使用 [notice] 级别。随后就可以在error_log 查看rewrite信息了。

使用location记录指定URL的日志

配置以上配置后，/static/ 相关的日志会被单独记录在static-error.log文件中。

常用例子

main格式

log_format  main  $remote_addr - $remote_user [$time_local] "$request" 
                      $status $body_bytes_sent "$http_referer" 
                      "$http_user_agent" "$http_x_forwarded_for"
                       $upstream_addr $upstream_response_time $request_time ;
access_log  logs/access.log  main;

json格式

log_format logstash_json "@timestamp":"$time_iso8601",
       "host": "$server_addr",
       "client": "$remote_addr",
       "size": $body_bytes_sent,
       "responsetime": $request_time,
       "domain": "$host",
       "url":"$request_uri",
       "referer": "$http_referer",
       "agent": "$http_user_agent",
       "status":"$status",
       "x_forwarded_for":"$http_x_forwarded_for";

解释：

$uri请求中的当前URI(不带请求参数，参数位于$args)，不同于浏览器传递的$request_uri的值，它可以通过内部重定向，或者使用index指令进行修改。不包括协议和主机名，例如/foo/bar.html。
$request_uri 这个变量等于包含一些客户端请求参数的原始URI，它无法修改，请查看$uri更改或重写URI。也就是说：$request_uri是原始请求URL，$uri则是经过nginx处理请求后剔除参数的URL,所以会将汉字表现为union。

坑点：

使用$uri可以在nginx对URL进行更改或重写，但是用于日志输出可以使用$request_uri代替，如无特殊业务需求，完全可以替换。

压缩格式

日志中增加了压缩的信息。

http 
    log_format compression $remote_addr - $remote_user [$time_local] 
                           "$request" $status $body_bytes_sent 
                           "$http_referer" "$http_user_agent" "$gzip_ratio";

    server 
        gzip on;
        access_log /spool/logs/nginx-access.log compression;
        ...
    

upstream格式

增加upstream消耗的时间。

http 
    log_format upstream_time $remote_addr - $remote_user [$time_local] 
                             "$request" $status $body_bytes_sent 
                             "$http_referer" "$http_user_agent"
                             rt=$request_time uct="$upstream_connect_time" uht="$upstream_header_time" urt="$upstream_response_time";

    server 
        access_log /spool/logs/nginx-access.log upstream_time;
        ...
    

总结

Nginx中通过access_log和error_log指令配置访问日志和错误日志，通过log_format我们可以自定义日志格式。如果日志文件路径中使用了变量，我们可以通过open_log_file_cache指令来设置缓存，提升性能。

另外，在access_log和log_format中使用了很多变量，这些变量没有一一列举出来，详细的变量信息可以参考Nginx官方文档

查看日志使用技巧

统计status 出现的次数

awk print $9 access.log | sort | uniq -c | sort -rn

36461 200 
483 500
9 400
3 302
1 403
1 301

显示返回302状态码的URL

awk ($9 ~ /302/) access.log | awk print $7 | sort | uniq -c | sort -rn

1 /anyrtc.png
1 /test.html

参考文档

Nginx日志配置详解
如何在Nginx中配置自定义访问和错误日志格式
Full Example Configuration