Linux学习之路--日志管理17---20180113

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Linux学习之路--日志管理17---20180113相关的知识,希望对你有一定的参考价值。

一、日志介绍

  • 日志:
        历史事件:时间,地点,人物,事件
        日志级别:事件的关键性程度,Loglevel

  • 系统日志服务:

  • sysklogd :CentOS 5之前版本
            syslogd:   system application     记录应用日志
            klogd:     linux kernel           记录内核日志
        事件记录格式:
            日期时间 主机 进程[pid]  事件内容
        C/S架构:通过TCP或UDP协议的服务完成日志记录传送,将分布在不同主机的日志实现集中管理


1、rsyslog

  • rsyslog特性:CentOS6和7  

        多线程
        UDP, TCP, SSL, TLS, RELP
        mysql, PGSQL, Oracle实现日志存储
        强大的过滤器,可实现过滤记录日志信息中任意部分
        自定义输出格式

  • ELK:elasticsearch, logstash, kibana

        非关系型分布式数据库
        基于apache软件基金会jakarta项目组的项目lucene
        Elasticsearch是个开源分布式搜索引擎
        Logstash对日志进行收集、分析,并将其存储供以后使用
        kibana 可以提供的日志分析友好的 Web 界面

[[email protected]~]#rpm -qi rsyslog
Name        : rsyslog                      Relocations: (not relocatable)
Version     : 5.8.10                            Vendor: CentOS
Release     : 10.el6_6                      Build Date: Wed 17 Dec 2014 05:52:43 PM CST
Install Date: Tue 23 Jan 2018 03:21:08 PM CST      Build Host: c6b8.bsys.dev.centos.org
Group       : System Environment/Daemons    Source RPM: rsyslog-5.8.10-10.el6_6.src.rpm
Size        : 2178098                          License: (GPLv3+ and ASL 2.0)
Signature   : RSA/SHA1, Wed 17 Dec 2014 08:12:36 PM CST, Key ID 0946fca2c105b9de
Packager    : CentOS BuildSystem <http://bugs.centos.org>
URL         : http://www.rsyslog.com/
Summary     : Enhanced system logging and kernel message trapping daemons
Description :
Rsyslog is an enhanced, multi-threaded syslog daemon. It supports MySQL,
syslog/TCP, RFC 3195, permitted sender lists, filtering on any message part,
and fine grain output format control. It is compatible with stock sysklogd
and can be used as a drop-in replacement. Rsyslog is simple to set up, with
advanced features suitable for enterprise-class, encryption-protected syslog
relay chains.
#Rsyslog是一个增强的多线程syslog守护进程。 它支持MySQL,syslog / TCP,RFC 3195,允许的发件人列表,对任何消息部分的过滤以及细粒度输出格式控制。 它与stock sysklogd兼容,可以用作替代品。 Rsyslog设置简单,具有适用于企业级加密保护系统日志中继链路的高级功能。

 

2、rsyslog介绍

  • 术语,参见man logger
        facility:设施,从功能或程序上对日志进行归类
            auth(验证), authpriv(验证授权), cron(计划任务), daemon(守护进程), ftp, kern, lpr(打印), mail, news, security(auth)(安全), user(用户), uucp, local0-local7(自定义), syslog(系统日志)
        Priority 优先级别,从低到高排序
            debug(调试), info(重要事件), notice(重要通知), warn(警报), err(错误), crit(临界), alert, emerg(系统不可用)
        参看帮助: man 3 syslog

  • 程序包:rsyslog

  • 主程序:/usr/sbin/rsyslogd

  • CentOS 6:service rsyslog {start|stop|restart|status}

  • CentOS 7:/usr/lib/systemd/system/rsyslog.service

  • 配置文件:/etc/rsyslog.conf,/etc/rsyslog.d/*.conf

  • 库文件: /lib64/rsyslog/*.so

  • 配置文件格式:由三部分组成

        MODULES:              相关模块配置
        GLOBAL DIRECTIVES:    全局配置
        RULES:                日志记录相关的规则配置

  • RULES配置格式: facility.priority; facility.priority… target

  • facility(设施):
        *: 所有的facility
        facility1,facility2,facility3,...:指定的facility列表

  • priority(优先界别):
        *: 所有级别
        none:没有级别,即不记录
        PRIORITY:指定级别(含)以上的所有级别
        =PRIORITY:仅记录指定级别的日志信息

  • target:
        文件路径:通常在/var/log/,文件路径前的-表示异步写入
        用户:将日志事件通知给指定的用户,* 表示登录的所有用户
        日志服务器:@host,把日志送往至指定的远程服务器记录
        管道: | COMMAND,转发给其它命令处理

[[email protected]~]#logger -p local7.info "This is a test log"
[[email protected]~]#cat /var/log/boot.log  
Jan 29 14:08:47 Centos6-server root: This is a test log

 

3、启用网络日志服务

  • 通常的日志格式:
        事件产生的日期时间 主机 进程(pid):事件内容
        如: /var/log/messages,cron,secure等

  • 配置rsyslog成为日志服务器
        #### MODULES ####
        # Provides UDP syslog reception
        $ModLoad imudp
        $UDPServerRun 514


        # Provides TCP syslog reception
        $ModLoad imtcp
        $InputTCPServerRun 514

#基于UDP远程管理日志
[[email protected]~]#ps aux | grep rsyslog
root       1585  0.0  0.1 255424  1292 ?        Sl   Jan27   0:00 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5
root      56057  0.0  0.0 103336   848 pts/0    S+   14:11   0:00 grep rsyslog

[[email protected]~]#vim /etc/rsyslog.conf
# Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514  
[[email protected]~]#ss -nul
State      Recv-Q Send-Q           Local Address:Port           Peer Address:Port              
[[email protected]~]#service rsyslog restart
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]
[[email protected]~]#ss -nul
State      Recv-Q Send-Q           Local Address:Port           Peer Address:Port              
UNCONN     0      0                            *:514                  *:*                  
UNCONN     0      0                           :::514                 :::*  

[[email protected]~]#vim /etc/rsyslog.conf
*.info;mail.none;authpriv.none;cron.none                @192.168.1.100   
[[email protected]~]#systemctl restart rsyslog

[[email protected]~]#logger "This is 2st test log"
[[email protected]~]#tail -f /var/log/messages
Feb  4 19:31:44 centos7mini root: This is 2st test log

#基于TCP协议管理日志
[[email protected]~]#vim /etc/rsyslog.conf 
# Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514  
[[email protected]~]#service rsyslog restart
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]
[[email protected]~]#ss -ntl
State      Recv-Q Send-Q           Local Address:Port     Peer Address:Port 
LISTEN     0      25                      :::514                  :::*     
LISTEN     0      25                       *:514                   *:* 

[[email protected]~]#vim /etc/rsyslog.conf 
*.info;mail.none;authpriv.none;cron.none                 @@192.168.1.100   
[[email protected]~]#systemctl restart rsyslog  
[[email protected]~]#logger "This is 3st test log" 

[[email protected]~]#tail -f /var/log/messages
Feb  4 19:36:43 centos7mini root: This is 3st test log

4、其它日志

  • 其它的日志文件

  • /var/log/secure(很重要):系统安装日志,文本格式,应周期性分析(用户登录、su切换等)

  • /var/log/btmp:当前系统上,用户的失败尝试登录相关的日志信息,二进制格式,lastb命令进行查看

  • /var/log/wtmp:当前系统上,用户正常登录系统的相关日志信息,二进制格式,last命令可以查看

  • /var/log/lastlog:每一个用户最近一次的登录信息,二进制格式,lastlog命令可以查看

  • /var/log/dmesg:系统引导过程中的日志信息,文本格式
        文本查看工具查看
        专用命令dmesg查看

  • /var/log/messages :系统中大部分的信息

  • /var/log/anaconda : anaconda的日志

[[email protected]~]#cat /var/log/secure
[[email protected]~]#lastb
[[email protected]~]#uptime                                          #查看开机时间命令
 14:30:03 up 1 day, 19:30,  2 users,  load average: 0.00, 0.00, 0.00
[[email protected]~]#cat /etc/logrotate.d/syslog                     #查看日志滚动配置
/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
    sharedscripts
    postrotate
        /bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
    endscript
}
[[email protected]~]#lastlog
Username         Port     From             Latest
root             pts/1    192.168.1.101    Mon Jan 29 12:58:13 +0800 2018
L                                          **Never logged in**

[[email protected]~]#cat /var/log/dmesg | wc -l
1749
[[email protected]~]#dmesg | wc -l
1838


二、日志管理journalctl

  • Systemd 统一管理所有 Unit 的启动日志。

        带来的好处就是,可以只用journalctl一个命令,查看所有日志(内核日志和应用日志)。

        日志的配置文件/etc/systemd/journald.conf

  • journalctl用法

  • 查看所有日志(默认情况下 ,只保存本次启动的日志)
        journalctl

  • 查看内核日志(不显示应用日志)
        journalctl -k

  • 查看系统本次启动的日志
        journalctl -b
        journalctl -b -0

  • 查看上一次启动的日志(需更改设置)
        journalctl -b -1

  • 查看指定时间的日志
        journalctl --since="2017-10-30 18:10:30"
        journalctl --since "20 min ago"
        journalctl --since yesterday
        journalctl --since "2017-01-10" --until "2017-01-11 03:00"
        journalctl --since 09:00 --until "1 hour ago"

  • 显示尾部的最新10行日志
        journalctl -n

  • 显示尾部指定行数的日志
        journalctl -n 20

  • 实时滚动显示最新日志
        journalctl -f

  • 查看指定服务的日志
        journalctl /usr/lib/systemd/systemd

  • 查看指定进程的日志
        journalctl _PID=1

  • 查看某个路径的脚本的日志
        journalctl /usr/bin/bash

  • 查看指定用户的日志
        journalctl _UID=33 --since today

  • 查看某个 Unit 的日志
        journalctl -u nginx.service
        journalctl -u nginx.service --since today

  • 实时滚动显示某个 Unit 的最新日志
        journalctl -u nginx.service -f

  • 合并显示多个 Unit 的日志
        journalctl -u nginx.service -u php-fpm.service --since today

  • 查看指定优先级(及其以上级别)的日志,共有8级
        0: emerg
        1: alert
        2: crit
        3: err
        4: warning
        5: notice
        6: info
        7: debug
        journalctl -p err -b

  • 日志默认分页输出,--no-pager 改为正常的标准输出
        journalctl --no-pager

  • 以 JSON 格式(单行)输出
        journalctl -b -u nginx.service -o json

  • 以 JSON 格式(多行)输出,可读性更好
        journalctl -b -u nginx.serviceqq -o json-pretty

  • 显示日志占据的硬盘空间
        journalctl --disk-usage

  • 指定日志文件占据的最大空间
        journalctl --vacuum-size=1G

  • 指定日志文件保存多久
        journalctl --vacuum-time=1years


 

三、rsyslog将日志记录于MySQL中


  • (1) 准备MySQL Server

  • (2) 在mysql server上授权rsyslog能连接至当前服务器
        mysql> GRANT ALL ON Syslog.* TO 'USER'@'HOST' IDENTIFIED BY 'PASSWORD';

  • (3) 在rsyslog服务器上安装mysql模块相关的程序包
        yum install rsyslog-mysql

  • (4) 为rsyslog创建数据库及表;
        mysql -uUSERNAME -hHOST -pPASSWORD < /usr/share/doc/rsyslog-7.4.7/mysql-createDB.sql

  • (5) 配置rsyslog将日志保存到mysql中
        #### MODULES ####
        $ModLoad ommysql
        #### RULES ####
        facility.priority :ommysql:DBHOST,DBNAME,DBUSER, PASSWORD

#实验
[[email protected]~]#yum install rsyslog-mysql.x86_64             #先装包
[[email protected]~]#rpm -ql rsyslog-mysql 
/lib64/rsyslog/ommysql.so
/usr/share/doc/rsyslog-mysql-5.8.10
/usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql
[[email protected]~]#scp /usr/share/doc/rsyslog-mysql-5.8.10/createDB.sql 192.168.1.101:

[[email protected]~]#mysql
MariaDB [(none)]> source createDB.sql
Query OK, 1 row affected (0.01 sec)
MariaDB [Syslog]> show databases;
+--------------------+
| Database           |
+--------------------+
| Syslog             |
| blogdb             |
| information_schema |
| mysql              |
| performance_schema |
| test               |
+--------------------+
6 rows in set (0.01 sec)
MariaDB [Syslog]> show tables;
+------------------------+
| Tables_in_Syslog       |
+------------------------+
| SystemEvents           |
| SystemEventsProperties |
+------------------------+
2 rows in set (0.00 sec)
MariaDB [Syslog]> grant all on Syslog.* to [email protected]'192.168.1.100' identified by 'centos';
Query OK, 0 rows affected (0.01 sec)

[[email protected]~]#vim /etc/rsyslog.conf 
#### MODULES ####
$ModLoad ommysql
*.info;mail.none;authpriv.none;cron.none                :mmysql:92.168.1.101,Syslog,syslog,centos  
[[email protected]~]#service rsyslog restart 
Shutting down system logger:                               [  OK  ]
Starting system logger:                                    [  OK  ]

MariaDB [Syslog]> select * from SystemEvents\G;
*************************** 9. row ***************************
                ID: 9
        CustomerID: NULL
        ReceivedAt: 2018-02-04 21:18:42
DeviceReportedTime: 2018-02-04 21:18:42
          Facility: 1
          Priority: 5
          FromHost: localhost
          Message:  Hello mysql


四、通过loganalyzer展示数据库中的日志

 

  • (1) 在rsyslog服务器上准备amp或nmp组合
        yum install httpd php php-mysql php-gd

  • (2) 安装LogAnalyzer
        tar xf loganalyzer-4.1.5.tar.gz
        cp -a loganalyzer-4.1.5/src /var/www/html/loganalyzer
        cd /var/www/html/loganalyzer
        touch config.php
        chmod 666 config.php

  • (3)配置loganalyzer
        systemctl start httpd.service
        http://HOST/loganalyzer
        MySQL Native, Syslog Fields, Monitorware

  • (4) 安全加强
        cd /var/www/html/loganalyzer
        chmod 644 config.php

#实验loganalyzer(日志的分析器)
[[email protected]~]#service mysqld start
[[email protected]~]#ss -ntl
State      Recv-Q Send-Q           Local Address:Port              Peer Address:Port 
LISTEN     0      50                   *:3306                             *:*

[[email protected]~]#yum install httpd php php-mysql php-gd

[[email protected]]#tar xvf loganalyzer-4.1.6.tar.gz
[[email protected]]#cp -r src/ /app/httpd24/htdocs/log/
[[email protected]]#cd /app/httpd24/htdocs/log/
[[email protected]]#ls
admin               classes      details.php  include      lang                 search.php      userchange.php
asktheoracle.php    convert.php  export.php   index.php    login.php            statistics.php
BitstreamVeraFonts  cron         favicon.ico  install.php  reportgenerator.php  templates
chartgenerator.php  css          images       js           reports.php          themes 
[[email protected]]#cat /app/src/loganalyzer-4.1.6/contrib/configure.sh 
#!/bin/sh
touch config.php
chmod 666 config.php
[[email protected]]#cat /app/src/loganalyzer-4.1.6/contrib/secure.sh 
#!/bin/sh
chmod 644 config.php
[[email protected]]#cd -
[[email protected]]#bash -x configure.sh
[[email protected]]#ll
-rw-rw-rw- 1 root root  0 Feb  4 21:44 config.php
[[email protected]]#chmod 644 config.php

技术分享图片

技术分享图片技术分享图片技术分享图片

技术分享图片


五、Logrotate日志存储


  • logrotate 程序是一个日志文件管理工具。用来把旧的日志文件删除,并创建新的日志文件,称为日志转储或滚动。可以根据日志文件的大小,也可以根据其天数来转储,这个过程一般通过 cron 程序来执行

  • 配置文件是 /etc/logrotate.conf

  • 主要参数如下

  • compress 通过gzip 压缩转储以后的日志

  • nocompress 不需要压缩时,用这个参数

  • copytruncate 用于还在打开中的日志文件,把当前日志备份并截断

  • nocopytruncate 备份日志文件但是不截断

  • create mode owner group 转储文件,使用指定的文件模式创建新的日志文件

  • nocreate 不建立新的日志文件

  • delaycompress 和 compress 一起使用时,转储的日志文件到下一次转储时才压缩

  • nodelaycompress 覆盖 delaycompress 选项,转储并压缩

  • errors address 专储时的错误信息发送到指定的Email 地址

  • ifempty 即使是空文件也转储,是缺省选项。

  • notifempty 如果是空文件的话,不转储

  • mail address 把转储的日志文件发送到指定的E-mail 地址

  • nomail 转储时不发送日志文件

  • olddir directory 转储后的日志文件放入指定的目录,必须和当前日志文件在同一个文件系统

  • noolddir 转储后的日志文件和当前日志文件放在同一个目录下

  • prerotate/endscript 在转储以前需要执行的命令可以放入这个对,这两个关键字必须单独成行

  • postrotate/endscript 在转储以后需要执行的命令可以放入这个对,这两个关键字必须单独成行

  • daily 指定转储周期为每天

  • weekly 指定转储周期为每周

  • monthly 指定转储周期为每月

  • size 大小 指定日志超过多大时,就执行日志转储

  • rotate count 指定日志文件删除之前转储的次数,0 指没有备份,5 指保留5 个备份

  • Missingok 如果日志不存在,提示错误

  • Nomissingok如果日志不存在,继续下一次日志,不提示错误


[[email protected]~]#rpm -qf /usr/sbin/logrotate
logrotate-3.7.8-28.el6.x86_64
[[email protected]~]#rpm -qi logrotate
Name        : logrotate                    Relocations: (not relocatable)
Version     : 3.7.8                             Vendor: CentOS
Release     : 28.el6                        Build Date: Wed 22 Mar 2017 05:11:03 AM CST
Install Date: Tue 23 Jan 2018 03:20:37 PM CST      Build Host: c1bm.rdu2.centos.org
Group       : System Environment/Base       Source RPM: logrotate-3.7.8-28.el6.src.rpm
Size        : 89448                            License: GPL+
Signature   : RSA/SHA1, Thu 23 Mar 2017 11:03:45 PM CST, Key ID 0946fca2c105b9de
Packager    : CentOS BuildSystem <http://bugs.centos.org>
URL         : https://fedorahosted.org/logrotate/
Summary     : Rotates, compresses, removes and mails system log files
Description :
The logrotate utility is designed to simplify the administration of
log files on a system which generates a lot of log files.  Logrotate
allows for the automatic rotation compression, removal and mailing of
log files.  Logrotate can be set to handle a log file daily, weekly,
monthly or when the log file gets to a certain size.  Normally,
logrotate runs as a daily cron job.
Install the logrotate package if you need a utility to deal with the
log files on your system.

#logrotate实用程序旨在简化对生成大量日志文件的系统上日志文件的管理。 Logrotate允许自动旋转压缩,删除和邮寄日志文件。 Logrotate可以设置为每天,每周,每月或当日志文件达到一定的大小时处理日志文件。 通常,logrotate作为日常的cron作业运行。如果需要一个实用程序来处理日志文件在您的系统上。

[[email protected]~]#rpm -ql logrotate
/etc/cron.daily/logrotate
/etc/logrotate.conf
/etc/logrotate.d
/usr/sbin/logrotate
/usr/share/doc/logrotate-3.7.8
/usr/share/doc/logrotate-3.7.8/CHANGES
/usr/share/doc/logrotate-3.7.8/COPYING
/usr/share/man/man5/logrotate.conf.5.gz
/usr/share/man/man8/logrotate.8.gz
/var/lib/logrotate.status

[[email protected]~]#cat /etc/cron.daily/logrotate
#!/bin/sh
/usr/sbin/logrotate /etc/logrotate.conf
EXITVALUE=$?
if [ $EXITVALUE != 0 ]; then
    /usr/bin/logger -t logrotate "ALERT exited abnormally with [$EXITVALUE]"
fi
exit 0

[[email protected]~]#cat /etc/logrotate.conf 
# see "man logrotate" for details
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4
# create new (empty) log files after rotating old ones
create
# use date as a suffix of the rotated file
dateext
# uncomment this if you want your log files compressed
#compress
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# no packages own wtmp and btmp -- we'll rotate them here
/var/log/wtmp {
    monthly
    create 0664 root utmp
        minsize 1M
    rotate 1
}
/var/log/btmp {
    missingok
    monthly
    create 0600 root utmp
    rotate 1
}
# system-specific logs may be also be configured here.








































以上是关于Linux学习之路--日志管理17---20180113的主要内容,如果未能解决你的问题,请参考以下文章

Python学习之路——Linux基础之IP地址管理

02-Spring5日志组件Java学习之路-www.javaroads.com

Python学习之路——Linux基础之系统进程管理

Python学习之路——Linux基础之文件系统管理

linux学习之路

萌新的Linux的学习之路(十四)--系统虚拟机管理