01 Linux系统⽇志管理 系统⽇志架构概述 syslog⽇志审查 Journal⽇志审查 Journal⽇志持久化 ⽇志轮询logrotate 系统⽇志架构概述 在rhel7系统中有两个⽇志服务,分别是传统的 rsyslog 和新添加的 systemd-journal systemd-journald 是⼀个改进型的⽇志管理服务,可以收集来⾃内核、系统早期的启动阶段的⽇志、系统守护 进程在启动和运⾏中的标准输出和错误信息,还有 syslog 的⽇志。 该⽇志服务仅仅把⽇志集中保存在单⼀结构化的⽇志⽂件 /run/log 默认情况下并不会持久化保存⽇志, 每次重启 后, 之前的⽇志都会丢失。另外,⼀些 rsyslog ⽆法收集的⽇志也会被 jounral 记录到。 rsyslog作为传统的系统⽇志服务,把所有收集到的⽇志都记录到/var/log/⽬录下的各个⽇志⽂件中。常⻅的⽇志⽂ 件如下: /var/log/messages 绝⼤多数的系统⽇志都记录到才⽂件 /var/log/secure 所有跟安全和认证授权等⽇志都会记录到此⽂件 /var/log/maillog 邮件服务的⽇志 /var/log/cron crond计划任务的⽇志 /var/log/boot.log 系统启动的相关⽇志 syslog⽇志审查 rsyslog.conf syslog⽇志类型 syslog⽇志的属性: emerg //内核崩溃 alert // crit // err //错误 warnning //警告 nice // info // debug // 看懂简单的⽇志设定规则 分析⽇志字段 ⼿⼯发送⽇志logger [root@wing ~]# logger -p authpriv.info -t "test" "Err" [root@wing ~]# tail -n1 /var/log/secure Mar 18 21:37:04 wing test: Err Journal⽇志审查 这是 systemd ⾃带的⽇志服务⼯具所有⽇志记录到 /run/log ⽂件中, 必须使⽤如下命令才可打开 # journalctl 查看所有的⽇志 # journalctl -n 5 查看最后5条⽇志 # journalctl -p err 查看err类型的⽇志 # journalctl -f 不断输出最后10条⽇志 # journalctl --since today 查看今天的⽇志 # journalctl --since "2014-02-10 20:30:00" --until "2014-02-13 12:00:00" # journalctl -o verbose 查看⽇志的详细信息 # journalctl _SYSTEMD_UNIT=sshd.service _PID=1182 Journal⽇志持久化 持久化保存 journal 的⽇志,默认只会保存⼀个⽉的⽇志 # mkdir /var/log/journal # chown root:systemd-journal /var/log/journal # chmod 2755 /var/log/journal # killall -USR1 systemd-journald
标签:systemd,log,journal,journalctl,syslog,2023.6,Linux,var,系统日志 From: https://www.cnblogs.com/BXXY5961/p/17464863.html