配置Linux日志文件

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了配置Linux日志文件相关的知识,希望对你有一定的参考价值。

在LINUX操作系统下我们该如何配置Linux日志文件,请LINUX高手能不能详细的介绍一下

  不要低估日志文件对网络安全的重要作用,因为日志文件能够详细记录系统每天发生的各种各样的事件,用户可以通过日志文件检查错误产生的原因,或者在受到攻击、被入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是审核和监测。配置好的Linux的日志非常强大。对于Linux系统而言,所有的日志文件在/var/log下。默认情况下,Linux的日志文件没有记录FTP的活动。用户可以通过修改/etc/ftpacess让系统记录FTP的一切活动。
 
  /etc/syslog.conf的格式
 
  Linux系统的日志文件是可以配置的,在前面的章节中已经介绍了如何定制Apache、wu-ftpd、Sendmail的日志文件。Linux系统的日志文件是由/etc/syslog.conf决定的,用户有必要花时间仔细配置一下/etc/syslog.conf.下面是/etc/syslog.conf的范例:
 
  
# Log all kernel messages to the kernlog.
# Logging much else clutters up the screen.
kern.*/var/log/kernlog
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none
/var/log/messages
*.warning/var/log/syslog
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.*/var/log/maillog
# Log cron stuff
cron.*/var/log/cron
# Everybody gets emergency messages, plus log them on another
# machine.
*.emerg
# Save mail and news errors of level err and higher in a
# special file.
uucp,news.crit/var/log/spooler
# Save boot messages also to boot.log
local7.*/var/log/boot.log
# INN
news.=crit /var/log/news/news.crit
news.=err /var/log/news/news.err
news.notice /var/log/news/news.notice

.
 
  可以看出,该配置文件的每一行的第一个字段列出要被记录的信息种类,第二个字段则列出被记录的位置。第一个字段使用下面的格式:facility.level[;facility.level…]
 
  此处的faciity是产生信息的系统应用程序或工具,level则是这个信息的重要程度。level的重要程度由低到高依次是:debug(调试消息)、info(一般消息)、notice(值得注意的消息)、warning(警告)、err(一般性错误)、crit(严重错误)、alert(或emerg,紧急情况)。
 
  facility包含有:auth(认证系统,如login或su,即询问用户名和口令)、cron(系统执行定时任务时发出的信息)、daemon(某些系统的守护程序的syslog,如由in.ftpd产生的log)、kern(内核的信息)、lpr(打印机的信息)、mail(处理邮件的守护进程发出的信息)、mark(定时发送消息的时标程序)、news(新闻组的守护进程的信息)、user(本地用户的应用程序的信息)、uucp(uucp子系统的信息)和“*”(表示所有可能的facility)。
 
  将日志文件记录到远程主机
 
  如果有另一个Linux或UNIX系统,那么可以配置日志文件,让其把消息发到另外一个系统并记录下来。这也是为什么上面的所有日志文件都记录了主机名的原因。要实现这个功能,在该配置文件中,指定一个记录动作,后面接一个由“@”开头的远程系统的主机名,如下例:*.warn;authpriv.notice;auth.notice @bright.hacker.com.cn
 
  同时,还要将接受消息的目的系统设置为允许这种操作。此例主机bright.hacker.com.cn的syslogd守护进程要用-r参数启动。如果不使用-r参数,则目标主机的syslogd将丢弃这个消息以避免DoS攻击使硬盘塞满虚假消息。并且确保目标主机的/etc/service文件必须设置syslog服务所使用的UDP端口514(这也是RedHat Linux默认的设置)。如果syslogd守护进程用了-r和-h参数,那么,参数-h将允许转发消息。也就是说,如果系统B的syslogd用了-h参数,这样,当系统A把消息转发到系统B后,系统B就把来自系统A和它自己的消息转发到系统C.
 
  将警告信息发送到控制台
 
  syslogd可以将任何从内核发出的重要程度为emerg或alert的信息发送到控制台。控制台是指虚拟控制台或启动时加-C参数的xterm.要实现这一功能,在/etc/syslog.conf文件中加上下面一行:kern.emerg /dev/console
 
  这样,当系统内核发生错误而发出消息时,用户能够马上知道并且进行处理。如果用了“*”,就是一旦内核发生错误,就将消息发送给所有在线用户,但只有这个用户正在登录的时候才能看到。修改了/etc/syslog.conf文件后,必须重新启动syslogd守护进程以使配置更改生效,请执行下面的命令:#/etc/rc.d/init.d/syslog restart
参考技术A inux系统日志相关配置文件为/etc/syslog.conf,以下是对配置文件各项配置 的
详细解释,如需修改修改对应配置项即可。

1://将info或更高级别的消息送到/var/log/messages,除了mail以外。
//其中*是通配符,代表任何设备;none表示不对任何级别的信息进行记录。
*.info;mail.none;authpriv.none /var/log/messages
2://将authpirv设备的任何级别的信息记录到/var/log/secure文件中,这主要是一些和认、权限使用相关的信息。
authpriv.* /var/log/secure
3://将mail设备中的任何级别的信息记录到/var/log/maillog文件中,这主要是和电子邮件相关的信息。
mail.* /var/log/maillog
4://将cron设备中的任何级别的信息记录到/var/log/cron文件中,这主要是和系统中定期执行的任务相关的信息。
cron.* /var/log/cron
5://将任何设备的emerg级别的信息发送给所有正在系统上的用户。
*.emerg *
6://将uucp和news设备的crit级别的信息记录到/var/log/spooler文件中。
uucp,news.crit /var/log/spooler
7: //将和系统启动相关的信息记录到/var/log/boot.log文件中。
local7.* /var/log/boot.log
参考技术B  日志也应该是用户注意的地方。不要低估日志文件对网络安全的重要作用,因为日志文件能够详细记录系统每天发生的各种各样的事件,用户可以通过日志文件检查错误产生的原因,或者在受到攻击、被入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是审核和监测。配置好的Linux的日志非常强大。对于Linux系统而言,所有的日志文件在/var/log下。默认情况下,Linux的日志文件没有记录FTP的活动。用户可以通过修改/etc/ftpacess让系统记录FTP的一切活动

Linux下玩转nginx系列---nginx日志配置文件说明

nginx日志共三个参数。

access_log: 定义日志的路径及格式。

log_format: 定义日志的模板。

open_log_file_cache: 定义日志文件缓存。

nginx access日志配置

access_log日志配置

access_log用来定义日志级别,日志位置。语法如下:
日志级别: debug > info > notice > warn > error > crit > alert > emerg

• path 指定日志的存放位置。

• format 指定日志的格式。默认使用预定义的combined。

• buffer 用来指定日志写入时的缓存大小。默认是64k。

• gzip 日志写入前先进行压缩。压缩率可以指定,从1到9数值越大压缩比越高,同时压缩的速度也越慢。默认是1。

• flush 设置缓存的有效时间。如果超过flush指定的时间,缓存中的内容将被清空。

• if 条件判断。如果指定的条件计算为0或空字符串,那么该请求不会写入日志。

另外,还有一个特殊的值off。如果指定了该值,当前作用域下的所有的请求日志都被关闭。

示例:

基本用法

该例子指定日志的写入路径为/var/logs/nginx-access.log,日志格式使用默认的combined。

该例子指定日志的写入路径为/var/logs/nginx-access.log,日志格式使用默认的combined,指定日志的缓存大小为32k,日志写入前启用gzip进行压缩,压缩比使用默认值1,缓存数据有效时间为1分钟。

log_format 定义日志格式

• name 格式名称。在access_log指令中引用。

• escape 设置变量中的字符编码方式是json还是default,默认是default。

• string 要定义的日志格式内容。该参数可以有多个。参数中可以使用Nginx变量。

示例:

我们使用log_format指令定义了一个main的格式,并在access_log指令中引用了它。假如客户端有发起请求:https://suyunfe.com/,我们看一下我截取的一个请求的日志记录:

我们看到最终的日志记录中$remote_user、$http_referer、$http_x_forwarded_for都对应了一个-,这是因为这几个变量为空。

设置error_log

错误日志在Nginx中是通过error_log指令实现的。该指令记录服务器和请求处理过程中的错误信息。

  • 语法
    配置错误日志文件的路径和日志级别。

第一个参数指定日志的写入位置。
第二个参数指定日志的级别。level可以是debug, info, notice, warn, error, crit, alert,emerg中的任意值。可以看到其取值范围是按紧急程度从低到高排列的。只有日志的错误级别等于或高于level指定的值才会写入错误日志中。默认值是error。

  • 基本用法

它可以配置在:main, http, mail, stream, server, location作用域。
例子中指定了错误日志的路径为:/var/logs/nginx/nginx-error.log,日志级别使用默认的error。

常见的日志变量

• $remote_addr, $http_x_forwarded_for 记录客户端IP地址。

• $remote_user记录客户端用户名称。

• $request记录请求的URL和HTTP协议(GET,POST,DEL,等)。

• $status记录请求状态。

• $body_bytes_sent发送给客户端的字节数,不包括响应头的大小; 该变量与Apache模块mod_log_config里的“%B”参数兼容。

• $bytes_sent发送给客户端的总字节数。

• $connection连接的序列号。

• $connection_requests 当前通过一个连接获得的请求数量。

• $msec 日志写入时间。单位为秒,精度是毫秒。

• $pipe如果请求是通过HTTP流水线(pipelined)发送,pipe值为“p”,否则为“.”。

• $http_referer 记录从哪个页面链接访问过来的。

• $http_user_agent记录客户端浏览器相关信息。

• $request_length请求的长度(包括请求行,请求头和请求正文)。

• $request_time 请求处理时间,单位为秒,精度毫秒; 从读入客户端的第一个字节开始,直到把最后一个字符发送给客户端后进行日志写入为止。

• $time_iso8601 ISO8601标准格式下的本地时间。

• $time_local通用日志格式下的本地时间。

open_log_file_cache

使用open_log_file_cache来设置日志文件缓存(默认是off)。

• max 设置缓存中的最大文件描述符数量,如果缓存被占满,采用LRU算法将描述符关闭。

• inactive 设置存活时间,默认是10s。

• min_uses 设置在inactive时间段内,日志文件最少使用多少次后,该日志文件描述符记入缓存中,默认是1次。

• valid 设置检查频率,默认60s。

• off 禁用缓存。

示例

它可以配置在http、server、location作用域中。
例子中,设置缓存最多缓存1000个日志文件描述符,20s内如果缓存中的日志文件描述符至少被被访问2次,才不会被缓存关闭。每隔1分钟检查缓存中的文件描述符的文件名是否还存在。

nginx日志调试技巧

设置 Nginx 仅记录来自于指定的 IP 的错误

当设置日志级别成 debug,如果在调试一个在线的高流量网站的话,错误日志可能会记录每个请求的很多消息,这样会变得毫无意义。
在events...中配置如下内容,可以使 Nginx 记录仅仅来自于指定的 IP 的错误日志。

调试 nginx rewrite 规则

调试rewrite规则时,如果规则写错只会看见一个404页面,可以在配置文件中开启nginx rewrite日志,进行调试。

rewrite_log on; 开启后,它将发送所有的 rewrite 相关的日志信息到 error_log 文件中,使用 [notice] 级别。随后就可以在error_log 查看rewrite信息了。

使用location记录指定URL的日志

配置以上配置后,/static/ 相关的日志会被单独记录在static-error.log文件中。

常用例子

main格式

log_format  main  $remote_addr - $remote_user [$time_local] "$request" 
                      $status $body_bytes_sent "$http_referer" 
                      "$http_user_agent" "$http_x_forwarded_for"
                       $upstream_addr $upstream_response_time $request_time ;
access_log  logs/access.log  main;

json格式

log_format logstash_json "@timestamp":"$time_iso8601",
       "host": "$server_addr",
       "client": "$remote_addr",
       "size": $body_bytes_sent,
       "responsetime": $request_time,
       "domain": "$host",
       "url":"$request_uri",
       "referer": "$http_referer",
       "agent": "$http_user_agent",
       "status":"$status",
       "x_forwarded_for":"$http_x_forwarded_for";

解释:

$uri请求中的当前URI(不带请求参数,参数位于$args),不同于浏览器传递的$request_uri的值,它可以通过内部重定向,或者使用index指令进行修改。不包括协议和主机名,例如/foo/bar.html。
$request_uri 这个变量等于包含一些客户端请求参数的原始URI,它无法修改,请查看$uri更改或重写URI。也就是说:$request_uri是原始请求URL,$uri则是经过nginx处理请求后剔除参数的URL,所以会将汉字表现为union。

坑点:

使用$uri可以在nginx对URL进行更改或重写,但是用于日志输出可以使用$request_uri代替,如无特殊业务需求,完全可以替换。

压缩格式

日志中增加了压缩的信息。

http 
    log_format compression $remote_addr - $remote_user [$time_local] 
                           "$request" $status $body_bytes_sent 
                           "$http_referer" "$http_user_agent" "$gzip_ratio";

    server 
        gzip on;
        access_log /spool/logs/nginx-access.log compression;
        ...
    

upstream格式

增加upstream消耗的时间。

http 
    log_format upstream_time $remote_addr - $remote_user [$time_local] 
                             "$request" $status $body_bytes_sent 
                             "$http_referer" "$http_user_agent"
                             rt=$request_time uct="$upstream_connect_time" uht="$upstream_header_time" urt="$upstream_response_time";

    server 
        access_log /spool/logs/nginx-access.log upstream_time;
        ...
    

总结

Nginx中通过access_log和error_log指令配置访问日志和错误日志,通过log_format我们可以自定义日志格式。如果日志文件路径中使用了变量,我们可以通过open_log_file_cache指令来设置缓存,提升性能。

另外,在access_log和log_format中使用了很多变量,这些变量没有一一列举出来,详细的变量信息可以参考Nginx官方文档

查看日志使用技巧

统计status 出现的次数

awk print $9 access.log | sort | uniq -c | sort -rn

36461 200 
483 500
9 400
3 302
1 403
1 301

显示返回302状态码的URL

awk ($9 ~ /302/) access.log | awk print $7 | sort | uniq -c | sort -rn

1 /anyrtc.png
1 /test.html

参考文档

Nginx日志配置详解
如何在Nginx中配置自定义访问和错误日志格式
Full Example Configuration

以上是关于配置Linux日志文件的主要内容,如果未能解决你的问题,请参考以下文章

Linux自带 Logrotate 日志切割工具配置详解

在 Linux 中为防火墙日志配置特定的日志文件 [关闭]

linux 如何将守护进程的日志写到自己指定的日志文件

Linux下玩转nginx系列---nginx日志配置文件说明

Linux实操篇—— 日志管理

Linux下玩转nginx系列---nginx日志配置文件说明