Linux(四)日志管理
十六、日志管理
1.系统常用的日志:
/var/log/:该目录就是系统日志文件的保存位置
系统常用的日志:
2.日志管理服务 rsyslogd
1)查询Linux中的rsyslogd服务是否启动
ps -aux | grep "rsyslog" | grep -v "grep"(-v:反向匹配)
2)查询 rsyslogd 服务的自启动状态
systemctl list-unit-files | grep rsyslog
3)配置文件目录:/etc/rsyslog.conf
编辑文件格式为:日志类型.日志级别 存放的日志文件
3.日志类型分为:
authpriv:ssh、ftp等登录信息的验证信息
corn:时间任务相关
kern:内核
lpr:打印
mail:邮件
mark(syslog)-rsyslog:服务内部的信息,时间标识
news:新闻组
user:用户程序产生的相关信息
uucp:unix、to、nuix、copy主机之间相关的通信
local 1-7:自定义的日志设备
4.日志级别分为:
debug:有调试信息的,日志通信最多
info:一般信息日志,最常用
notice:最具有重要性的普通条件的信息
warning:警告级别
err:错误级别,阻止某个功能或者模块不能正常工作的信息
crit:严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert:需要立刻修改的信息
emerg:内核崩溃等重要信息
none:什么都不记录
注意;从上到下,级别从低到高,记录信息越来越少
5.日志文件阅读
由日志服务 rsyslogd 记录的日志文件,文件格式包含以下4列:
1)事件产生的时间
2)产生事件的服务器的主机名
3)产生事件服务名或程序名
4)事件的具体信息
6.日志轮替
1)日志轮替就是把旧的日志文件移动并改名,同时建立新的空日志,当旧日志文件超出保存的范围之后,就会进行删除
2)日志轮替文件命名:
centos7使用logrotate进行日志轮替管理,要想改变日志轮替文件名字,通过 /etc/logrotate.conf 配置文件中“dateext”参数
3)logrotate配置文件:/etc/lograte.conf
4)配置文件参数说明:
daily:日志的轮替周期是每天
weekly:日志的轮替周期是每周
monthly:日志的轮替周期是每月
rotate 数字:保留的日志文件个数,0指没有备份
compress:日志轮替时,旧的日志进行压缩
create mode owner group:建立新日志,同时指定新日志的权限与所有者和所属组
mail address:当日志轮替时,输出内容通过邮件发送到指定的邮件地址
missingok:如果日志不存在,则忽略该日志的警告信息
notifempty:如果日志为空文件,则不进行日志轮替
minsize 大小:日志轮替的最小值。也就是日志一定要达到这个最小值才会轮替,否则就算时间达到也不轮替
size 大小:日志只有大于指定大小才进行日志轮替,而不是按照时间轮替
dateext:使用日期作为日志轮替文件的后缀
sharedscripts:在此关键字之后的脚本只执行一次
prerotate/endscript:在日志轮替之前执行脚本命令
postrotate/endscript:在日志轮替之后执行脚本命令
5)把自己的日志加入轮替
①第一种方法是直接在/etc/logrotate.conf配置文件中写入该日志的轮替策略
②第二种方法是在/etc/logrotate.d/目录中新建立该日志的轮替文件,在该轮替文件写入正确的轮替策略,因为该目录中的文件都会被“include”到 主配置文件中,所以也可以把日志加入轮替。
6)日志轮替机制原理
日志轮替之所以可以在指定的时间备份日志,是依赖系统定时任务。在/etc/cron.daily/目录,就会发现这个目录中是有logrotate文件(可执行权限), logrotate通过这个文件依赖定时任务执行的。
7.查看内存日志
journaltcl:查看全部
journaltcl -n 3:查看最新三条
journaltcl --since 19:00 --until 20:00 :查看起始时间到结束时间的日志可加日期
journaltcl -p err:报错日志
journaltcl -o verbose:日志详细内容
journaltcl _PID=1245 _COMM=sshd:查看包含这些参数的日志
十七、系统-备份与恢复
1.安装 dump 和 restore
1)如果Linux上没有安装dump和restore
yum -y install dump
yum -y install restore
2)使用dump完成备份
dump支持分卷和增量备份(所谓增量备份是指备份上次备份后,修改/增加过的文件,也称差异备份)
基本语法:
dump -cu [-0123456789] [-f <备份后的文件名>] [-T <日期>] [需要备份的目录或文件系统]
常用选项:
-c:创建新的归档文件,并将由一个或多个文件参数所指定的内容写入归档文件的开头
-0123456789:备份的层级,0位最完整备份,会备份所有文件。若指定0以上层级,则备份至上一次备份以来修改或新增的文件,到9后,可再次轮替
-f <备份后的文件名>:指定备份后的文件名
-j:调用bzlib库备份压缩文件,将备份后的文件压缩成bz2格式,让文件更小
-T <日期>:指定开始备份的时间与日期
-u:备份完毕后,在/etc/dumpdares中记录备份的文件系统,层级,日期与时间等
-t:指定文件名,若该文件已存在备份文件中,则列出名称
-W:显示需要备份的文件及其最后一次备份的层级,时间,日期
-w:与-W类似,但仅显示需要备份的文件
3)备份文件是,可将文件上传至其他服务器保存,避免该服务器宕机导致备份不可用。
2.使用restore完成恢复
1)restore命令用来恢复已备份的文件,可以从dump生成的备份文件中恢复原文件
2)基本语法:restore [模式选项] [选项]
四种模式:一次命令只可使用一种
-C:使用对比模式,将备份的文件与已存在的文件相互对比
-i:使用交互模式,在进行还原操作时,restore指令将依序询问用户
-r:进行还原模式
-t:查看模式,看备份文件有哪些
常用选项:
-f <备份设备>:从指定的文件中读取备份数据,进行还原操作
相关文章
- nagios安装check_linux_stats.pl插件报错Can't locate Sys/Statistics/Linux.pm in @INC的处理?
- Linux的linux aarch64和linux x86_64
- Linux下查看日志用到的常用命令
- 巧用linux云服务器下的的/dev/shm/,避开磁盘IO不给力!
- Linux 日志基础
- linux学习-Linux系统启动过程
- linux shadow文件*,Linux /etc/shadow文件详解
- Linux应用总结(1):自动删除n天前日志
- Linux 从末尾开始查找日志
- linux进程的内存与ELF文件
- linux系统重启 查看相关日志和历史记录
- linux查看实时日志命令
- linux 小问题和 NBU 恢复问题一则
- Linux-016-Centos Shell 遍历文本信息,通过流水号批量获取日志信息并保存结果
- linux 实时显示文件的内容
- Linux基础:文件基础属性及如何更改文件属性、文件与目录管理、linux软硬链接的理解、linux用户和用户组管理
- [置顶] Linux信号相关笔记
- 【八天学好Linux】第八天 Linux的文件权限与网络管理
- Linux学习笔记(9)linux网络管理与配置之一——Linux基础网络命令与学习大纲(0)
- Linux_日志管理介绍(一)
- linux乱码问题