RHCE_RHEL6_135 U15 分析和存储日志.pdf

RHEL RHEL 专注RRHHEELL 带你入门 从中笑 RHCE_RHEL6_135 U15 分析和存储日志 许多程序使用标准协议向syslogd发送消息。每条消息都有级别描述。这些 rhel5 rhel6 syslog 严重级别使用标准化。 与 的 完全不一样。 rhel5日志的配置文件：/etc/syslog.conf；运行程序是：syslog rhel6日志的配置文件：/etc/rsyslog.conf 运行程序是：rsyslog 基本概念：日志文件相当的重要，因为： 什么时间。。。什么主机。。。什么服务。。。出现了什么情况。 根据日志排错！！！ 日志存储：本地/var/log中；远程日志服务器。 一、本地日志管理 日志的配置文件：/etc/rsyslog.conf； 日志文件格式： 实例： 专业博客：/yjc118 -1- RHEL RHEL 专注RRHHEELL 带你入门 从中笑 二、远程日志服务： 1. udp log 1. udp log 11.. uuddpp lloogg 采用 传送 ： 2. tcp log 2. tcp log 22.. ttccpp lloogg 采用 传送 ： 专业博客：/yjc118 -2- RHEL RHEL 专注RRHHEELL 带你入门 从中笑 logrotate logrotate 三、日志轮循（轮转）：llooggrroottaattee ① 轮转日志，以避免日志占满包含/var/log/的文件系统； ② 轮转日志时，使用扩展名对其进行重命名，扩展名中指示轮转日期； ③ 轮转原日志之后，分创建新日志文件，并通知对它执行写操作的服务； ④ 轮转若干次之后（通常在4周之后），丢弃原日志文件以节省磁盘空间； ⑤ cron作业每天运行一次logrotate程序，查看是否有任何日志需要轮转； ⑥ 大多数日志每周轮转一次，但是logrotate轮转文件的速度时快时慢， 或在文件达到特定大小时进行轮转。 主要功能就是将旧的日志文件移动成旧的文件，并且重新建一个空文件来 记录。 专业博客：/yjc118 -3- RHEL RHEL 专注RRHHEELL 带你入门 从中笑 自已创建一个日志轮循： 发现一个问题：突然有一天，vim /var/log/admin.log,被锁住了，不轮循 了。chattr +a /var/log/admin.log 表示只读的,不能vim 不能重命名。 lsattr /var/log/admin.log 查看文件属性。 chattr -a chattr +i logwatch