日志切割
Linux下的日志会定期滚动增加,可以在线对正在回滚的日志进行指定大小的切割(动态)。如果这个日志是静态的,若没有应用向里面写内容,那么可以用split工具进行切割,其中logrotate支持按时间和大小来自动切割,以防止日志文件太大。
logrotate配置文件主要有/etc/logrotate.conf及/etc/logrotate.d/子目录下的明细配置文件。logrotate的执行是由crond服务调用的。
vim /etc/cron.daily/logrotate
logrotate程序每天由cron(/etc/crontab)在指定的时间启动。
日志是很大的,如果让日志无限制地记录下去是一件很可怕的事情,日积月累就会占用磁盘几百兆的空间。
想要找出某一条可用信息,就像海底捞针一样难。
当日志达到某个特定的大小时,将日志分类,之前的日志保留一个备份,再创建一个同名的文件保存新的日志。
实战演示:
(1)编辑配置文件
[root@testhost ~]# cat /etc/logrotate.conf
# see "man logrotate" for details
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4
全局参数说明如下:
weekly:每周执行一次日志回滚。
rotate:日志切分后历史文件最多保存离现在最近的多少份。
create:指定新创建的文件的权限与所属主和所属组。
dateext:使用日期为后缀的回滚文件,可以到/var/log目录下查看。
(2)单独配置信息
其他参数说明如下:
monthly:日志文件将按月回滚。其他可用值为“daily”“weekly”和“yearly”。
rotate 5:一次将存储5个归档日志。当存储第6个归档日志时,将删除时间最久的归档。
compress:在回滚任务完成后,已回滚的归档将使用gzip进行压缩。
delaycompress:总是与compress选项一起用,delaycompress选项指示logrotate不要将最近的归档压缩,压缩将在下一次回滚周期进行。这在需要读取最新归档时很有用。
missingok:在日志回滚期间,任何错误将被忽略,如“文件无法找到”之类的错误。
notifempty:如果日志文件为空,回滚将不会进行。
create 644 root root:以指定的权限创建全新的日志文件,同时logrotate也会重命名原始日志文件。
postrotate/endscript:在其他所有指令完成后,将执行postrotate和endscript中指定的命令。在这种情况下,rsyslogd进程将立即再次读取其配置并继续运行。
/var/lib/logrotate/status中默认记录logrotate上次回滚日志文件的时间。
使用logrotate进行ssh日志分割
使用logrotate进行ssh日志分割之前,确认ssh日志存储在/var/log/sshd。
logrotate的选项说明如下:
-v:显示指令执行过程。
-f:强制执行。
配置远程日志服务器
配置远程日志服务器的实验拓扑图如图:
配置远程日志服务器的步骤:
1.服务器端配置
注意:UDP协议,传输速度快,提供不可靠的传输;TCP协议,可靠性强,提供可靠传输(有序,无差错,不丢失,不重复)。
systemctl restart rsyslog
查看服务监听的状态。
2.服务端验证
在服务器端关闭SELinux和防火墙。
3.客户端配置
注意:.表示所有类别和级别的日志。
@@192.168.1.63:514:设置远端TCP协议的日志服务端的IP地址和端口。
4.重启rsyslog服务
systemctl restart rsyslog.service
5.查看日志
tail -f /var/log/messages | grep root --color #动态查看日志
6.在客户端 root 进行测试
命令使用格式:logger要模拟发送的日志。
总结:服务器使用UDP协议,客户端使用的配置文件中这一行只能有一个@。
*. *@192.168.1.64:514
服务器使用TCP协议,客户端使用的配置文件中这一行必须有两个@@。
*.* @@192.168.1.64:514
