系统日志管理

测试积点老人

1、日志的查看
日志可以记录下系统所产生的所有行为，并按照某种规范表达出来。我们可以使用日志系统所记录的信息为系统进行排错，优化系统的性能，或者根据这些信息调整系统的行为。
收集你想要的数据，分析出有价值的信息，可以提高系统、产品的安全性，可以帮助开发完善代码，优化产品。
日志会成为在事故发生后查明“发生了什么”的一个很好的“取证”信息来源。日志可以为审计进行审计跟踪。系统用久了偶尔也会出现一些错误，我们需要日志来给系统排错，在一些网络应用服务不能正常工作的时候，我们需要用日志来做问题定位。
日志在linux中存放在/var/log/中，我们查看一下其中有哪些日志



系统日志主要是存放系统内置程序或系统内核之类的日志信息如 alternatives.log 、btmp 等等，应用日志主要是我们装的第三方应用所产生的日志如 tomcat7 、apache2 等等
日志信息表：

1. less /apt/history.log

复制代码

这是系统软件近期更新信息。
删除git软件来查看日志：

1. sudo apt-get remove --purge git

复制代码

查看日志：


其他的日志和这个差不多，一般都是时间和操作。但是有两个日志文件和这些不同，他们不是ASCLL码编写的而是二进制文件。wtmp 、lastlog日志用last命令打开。



2.日志的配置
日志的格式和输出位置有两种类型，一种是软件开发商自己定义的日志格式和输出位置，另一种是系统提供的日志服务程序。在ubuntu中是syslog
yslog 是一个系统日志记录程序，在早期的大部分 Linux 发行版都是内置 syslog，让其作为系统的默认日志收集工具，虽然时代的进步与发展，syslog 已经年老体衰跟不上时代的需求，所以他被 rsyslog （rocket-fast system for log）所代替了，较新的Ubuntu、Fedora 等等都是默认使用 rsyslog 作为系统的日志收集工具。这样能实时收集日志信息的程序都会有其守护进程如 rsyslog 的守护进程便是 rsyslogd。
启动rsyslog程序，查看进程：

1. sudo server rsyslog start
   
2. ps aux |grep syslog

复制代码

下面我们就配置syslog程序，他的配置文件有两个/etc/rsyslog.conf主要是配置的环境，也就是 rsyslog 的加载什么模块，文件的所属者等。/etc/rsyslog.d/50-default.conf主要是配置的 Filter Conditions 。
rsyslog由三个部分组成，input ，parser（剖析），output。input和output前还有排队模块，来实现高效的输入输出。input用于从各种各样的来源收集message。output输出到不同路径。



了解了 rsyslog 环境的配置文件之后，我们看向 /etc/rsyslog.d/50-default.conf 这个配置文件，这个文件中主要是配置的 Filter Conditions，也就我们在流程图中所看见的 Parser & Filter Engine,它的名字叫 Selectors 是过滤 syslog 的传统方法，他主要由两部分组成，facility 与 priority，其配置格式如下