Linux日志管理篇

Linux⽇志⽂件管理——限制⼤⼩设计思路： 1 ⽤⼀个INI配置⽂件管理⽇志⽬录，⽇志⽂件限制的⼤⼩，特殊的⽇志名，特殊⽇志的⼤⼩限制。

2 读取INI⽂件中的所有信息：每⼀个⽇志⽬录对应的⼤⼩限制，每⼀个特殊⽇志对应的⼤⼩限制。

如特殊⽇志在既定的⽇志⽬录中需去除。

3 按设置的⼤⼩循环检测并清理每⼀个⽇志⽂件。

4 监听有名管道的信号，如读取到了修改了INI⽂件的信号，则重新开始读取，循环。

代码：LogSizeLimit.h#ifndef LOGSIZELIMIT_H_#define LOGSIZELIMIT_H_#include <map>#include <vector>#include <string.h>#include "GlobDefine.h"#include "Mutex.h"static const INT8 *IniFileName = "/LogService/LogSizeManage.ini";//static const UINT32 LogFileSizeDefault = 2 * 1024 * 1024;static const INT8 * LogFileSizeDefault = "2M";static const INT8 *LogPipeName = "/LogService/LOGSIZE.fifo";static const INT8 *ChangedStr = "changed";static const UINT32 CleanInterval = 4;static const UINT32 LogFilePathMaxLen = 64;static const UINT32 LogFileAttrMaxLen = 8;class LogSizeLimit {// static Mutex mutex;public:LogSizeLimit(const string iniFile);~LogSizeLimit();bool start();bool getChangeFlag() {return changeFlag;}void setChangeFlag(bool status) {changeFlag = status;}private:string _iniFile;map<string, string> _catelogAttr;map<string, string> _specialFileAttr;map<string, vector<string> > _logFiles;bool changeFlag;static void *run(void *args);static void *listenChanged(void*args);bool readConfig();bool limitLogFile();bool readFileList(const INT8 *mapStrPath, const INT8 *basePath);bool checkAndCleanLog(string logName, INT32 size);INT32 transSizeToBytes(const INT8 * size);bool readPipeMsg();};#endif /* LOGSIZELIMIT_H_ */LogSizeLimit.cpp#include <pthread.h>#include <unistd.h>#include <dirent.h>#include <sys/stat.h>#include <sys/types.h>#include <errno.h>#include <fcntl.h>#include "LogSizeLimit.h"#include "IniConfigFile.h"#include "FileOperation.h"using namespace FrameWork;LogSizeLimit::LogSizeLimit(const string iniFile) :_iniFile(iniFile), changeFlag(true) {}LogSizeLimit::~LogSizeLimit() {}bool LogSizeLimit::start() {pthread_t tid, changetid;pthread_create(&tid, NULL, run, (void*) this);pthread_create(&changetid, NULL, listenChanged, (void*) this);return true;}bool LogSizeLimit::readConfig() {//Clean map varsmap<string, string>::iterator iter_tmp = _catelogAttr.begin();while (iter_tmp != _catelogAttr.end()) {_catelogAttr.erase(iter_tmp);iter_tmp++;}//Clean map varsiter_tmp = _specialFileAttr.begin();while (iter_tmp != _specialFileAttr.end()) {_specialFileAttr.erase(iter_tmp);iter_tmp++;}//Clean map varsmap<string, vector<string> >::iterator mvIter_tmp = _logFiles.begin(); while (mvIter_tmp != _logFiles.end()) {_logFiles.erase(mvIter_tmp);mvIter_tmp++;}if (!FileOperation::isExistFile(_iniFile)) {Logger::GetInstance().Fatal("Can not find ini file : %s !",_iniFile.c_str());return false;}//Create ini file handling var.IniConfigFile iniSet(_iniFile.c_str());INT8 logPath[LogFilePathMaxLen] = { 0 };INT8 logFileAttr[LogFileAttrMaxLen] = { 0 };INT8 specialFile_1[LogFilePathMaxLen] = { 0 };INT8 specialFileAttr_1[LogFileAttrMaxLen] = { 0 };const INT8 *catelogBase = "catelog_";const INT8 *limitBase = "logSizeLimit_";const INT8 *specialFileBase = "specialFile_";const INT8 *specialLimitBase = "specialFileSizeLimit_";INT8 catelogCnt = '1';bool isExist = true;INT8 catelogIndex[32] = { 0 };INT8 logSizeIndex[32] = { 0 };while (isExist) {memset(catelogIndex, 0, 32);memset(logSizeIndex, 0, 32);memset(logPath, 0, LogFilePathMaxLen);memset(logFileAttr, 0, LogFileAttrMaxLen);memcpy(catelogIndex, catelogBase, strlen(catelogBase));memcpy(catelogIndex + strlen(catelogBase), &catelogCnt, 1);memcpy(logSizeIndex, limitBase, strlen(limitBase));memcpy(logSizeIndex + strlen(limitBase), &catelogCnt, 1);//section key valuedo {if (iniSet.readIniConfFile("LogSizeManage", catelogIndex, logPath, LogFilePathMaxLen) != true) {Logger::GetInstance().Error("Can not locate %s !",catelogIndex);isExist = false;break;Logger::GetInstance().Info("Get a catelog %s=%s !",catelogIndex, logPath);if (iniSet.readIniConfFile("LogSizeManage", logSizeIndex,logFileAttr, LogFilePathMaxLen) != true) {Logger::GetInstance().Error("Can not get size %s, using default size %s !",logSizeIndex, LogFileSizeDefault);memcpy(logFileAttr, LogFileSizeDefault,strlen(LogFileSizeDefault));} elseLogger::GetInstance().Info("Get a log size attr %s !",logFileAttr);_catelogAttr[logPath] = logFileAttr;isExist = true;map<string, string>::iterator iter;iter = _catelogAttr.begin();for (UINT32 i = 1; i < _catelogAttr.size(); i++)iter++;cout << "_catelogAttr_size : " << _catelogAttr.size() << " begin : "<< iter->first << " end : " << iter->second << endl;} while (0); // read the normal catelogsmemset(catelogIndex, 0, 32);memset(logSizeIndex, 0, 32);memset(logPath, 0, LogFilePathMaxLen);memset(logFileAttr, 0, LogFileAttrMaxLen);memcpy(catelogIndex, specialFileBase, strlen(specialFileBase));memcpy(catelogIndex + strlen(specialFileBase), &catelogCnt, 1);memcpy(logSizeIndex, specialLimitBase, strlen(specialLimitBase));memcpy(logSizeIndex + strlen(specialLimitBase), &catelogCnt, 1);do {if (iniSet.readIniConfFile("LogSizeManage", catelogIndex, logPath,LogFilePathMaxLen) != true) {Logger::GetInstance().Error("Can not locate a special log %s !",catelogIndex);break;} elseLogger::GetInstance().Info("Get a special log %s=%s !",catelogIndex, logPath);if (iniSet.readIniConfFile("LogSizeManage", logSizeIndex,logFileAttr, LogFilePathMaxLen) != true) {Logger::GetInstance().Error("Can not get log size %s, using default size %s !",logFileAttr, LogFileSizeDefault);memcpy(logFileAttr, LogFileSizeDefault,strlen(LogFileSizeDefault));// break;} elseLogger::GetInstance().Info("Get a special log size %s !",logFileAttr);if (!isExist)isExist = true;_specialFileAttr[logPath] = logFileAttr;map<string, string>::iterator iter;iter = _specialFileAttr.begin();cout << "_specialFileAttr_size : " << _specialFileAttr.size()<< " begin : " << iter->first << " end : " << iter->second<< endl;} while (0); // read the special log filescatelogCnt++;} //whilereturn true;}//struct dirent//{// long d_ino; /* inode number 索引节点号 */// off_t d_off; /* offset to this dirent 在⽬录⽂件中的偏移 */// unsigned short d_reclen; /* length of this d_name ⽂件名长 */// unsigned char d_type; /* the type of d_name ⽂件类型 */其中d_type表明该⽂件的类型：⽂件(8)、⽬录(4)、链接⽂件(10)等。

linux下syslog-ng⽇志集中管理服务部署记录syslog是Linux系统默认的⽇志守护进程，默认的syslog配置⽂件是/etc/syslog.conf⽂件。

syslog守护进程是可配置的，它允许⼈们为每⼀种类型的系统信息精确地指定⼀个存放地点。

⽐较 syslog ，syslog-ng 具有众多⾼级的功能：更好的⽹络⽀持，更加⽅便的配置，集中式的⽹络⽇志存储，并且更具有弹性。

⽐如，使⽤syslogd时，所有的iptables⽇志与其他内核⽇志⼀起全部存储到了kern.log⽂件⾥。

Syslog-ng则可以让你有选择性的将iptables部分分出到另外的⽇志⽂件中。

Syslogd仅能使⽤UDP协议，Syslog-ng 可以使⽤UDP和TCP协议。

所以我们可以在加密的⽹络隧道中传输⽇志到集中⽇志服务器。

syslog-ng的⼀个设计原则就是建⽴更好的消息过滤粒度。

syslog-ng能够进⾏基于内容和优先权/facility的过滤。

另⼀个设计原则是更容易进⾏不同防⽕墙⽹段的信息转发，它⽀持主机链，即使⽇志消息经过了许多计算机的转发，也可以找出原发主机地址和整个转发链。

最后的⼀个设计原则就是尽量使配置⽂件强⼤和简洁。

syslog-ng作为syslog的替代⼯具，可以完全替代syslog的服务，并且通过定义规则，实现更好的过滤功能。

之前介绍了，下⾯简单介绍下syslog-ng⽇志集中管理服务部署记录：下⾯部署实例⽬的：实现接收远程客户端服务⽇志（nginx、mysql、php、apache）保存在本地⼀台⽇志服务器上提供查看。

即远程客户机采⽤syslog-ng将其⽇志通过管道pipe传送到本地的⽇志服务器上进⾏查看。

⼀、syslog-ng安装（服务端和客户端都要安装）[root@syslog-ng ~]# wget /pub/epel/epel-release-latest-6.noarch.rpm[root@syslog-ng ~]# rpm -ivh epel-release-latest-6.noarch.rpm --force[root@syslog-ng ~]# yum install syslog-ng -y==============================================================================================温馨提⽰：由于⽇志集中管理服务syslog-ng采⽤的是C/S架构，所以客户端也需要安装syslog-ng。

高级Linux命令技巧使用journalctl进行系统日志管理Linux系统是一种广泛使用的操作系统，它的操作方式相对于其他操作系统来说更为灵活，也具备更多高级的功能。

而在Linux系统中，系统日志的管理是一个非常重要的任务之一。

本文将介绍如何使用journalctl命令来进行高级Linux命令技巧的系统日志管理。

一、journalctl命令简介journalctl是Linux系统中用于管理系统日志的命令。

它可以查看系统日志文件、过滤日志信息、对日志进行排序以及进行其他一些高级的操作。

使用journalctl命令，我们可以方便地进行系统日志的管理和排查。

二、查看系统日志使用journalctl命令最常见的用途就是查看系统日志。

下面是一些常用的journalctl命令及其用法：1. 查看全部日志信息：$ journalctl2. 查看最新的日志信息：$ journalctl -n3. 查看指定行数的日志信息：$ journalctl -n <行数>其中，-n参数用于指定输出的日志行数，默认为10行。

我们可以根据实际需要进行调整。

三、过滤日志信息在实际的系统日志管理中，我们可能只对某些特定的日志信息感兴趣。

journalctl命令提供了多种过滤选项，可以根据条件过滤需要的日志信息。

下面是一些常见的过滤选项及其用法：1. 根据时间过滤：$ journalctl --since="yyyy-mm-dd" --until="yyyy-mm-dd"该命令用于根据时间范围过滤日志信息。

--since参数用于指定起始时间，--until参数用于指定结束时间。

其中时间的格式为yyyy-mm-dd。

2. 根据服务过滤：$ journalctl -u <服务名称>该命令用于过滤特定服务的日志信息。

我们只需将<服务名称>替换为实际的服务名称即可。

理解Linux的日志管理和审计在Linux系统中，日志管理和审计是非常重要的任务。

Linux系统产生了大量的日志，包括系统日志、应用程序日志、安全日志等，通过对这些日志的管理和审计，可以帮助系统管理员了解系统的状态、排查问题、发现安全威胁。

本文将详细介绍Linux的日志管理和审计。

一、日志管理1. 日志的概念和作用日志是系统记录事件的一种重要方式，Linux系统生成的各种日志可以帮助系统管理员了解系统的运行情况、故障排查和性能分析。

通过对日志的管理，可以及时发现和解决系统中的问题。

2. 系统日志系统日志是Linux系统默认生成的日志，主要包括内核日志（kernel log）和系统守护进程日志（system daemon log）。

内核日志记录了内核的运行状态、硬件故障等信息，而系统守护进程日志记录了系统服务的启动、停止以及错误信息。

3. 应用程序日志除了系统日志外，应用程序也会生成日志文件。

应用程序日志可以帮助了解应用程序的运行情况，包括程序的调试信息、错误日志等。

常见的应用程序日志有Apache的访问日志、MySQL的查询日志等。

4. 日志文件的位置和格式Linux系统的日志文件一般位于/var/log目录下，不同的日志文件有不同的命名规则和存放位置。

例如，系统日志文件/var/log/messages，内核日志文件/var/log/kern.log。

5. 日志的轮转与清理为了防止日志文件过大占用过多磁盘空间，需要对日志文件进行轮转和清理。

轮转可以保留一定数量的日志文件，清理可以删除过旧的日志文件。

常用的日志轮转工具有logrotate等。

二、日志审计1. 审计的概念和意义日志审计是指对系统产生的各种日志进行分析和审核，以发现系统安全漏洞、异常行为和内部威胁，以及判断是否符合合规要求。

通过日志审计，可以提高系统的安全性，预防和发现安全事件。

2. 安全审计框架在Linux系统中，常用的安全审计框架有SELinux（Security Enhanced Linux）和Auditd（Linux Audit）等。

使用Linux终端命令进行系统日志查看和管理Linux系统日志是记录系统运行状态和事件的重要工具，它可以帮助我们快速定位和解决问题。

本文将介绍如何使用Linux终端命令来查看和管理系统日志。

一、查看系统日志1. dmesg命令dmesg命令用于查看内核和设备驱动程序输出的系统日志信息。

在终端中输入以下命令即可查看系统启动时的日志信息：```shelldmesg```2. journalctl命令journalctl命令是Systemd服务管理器的日志查看工具，可以查看系统服务和事件的详细日志信息。

在终端中输入以下命令即可查看系统日志：```shelljournalctl```如果只想查看最近的日志内容，可以使用`-n`参数指定行数，例如：```shelljournalctl -n 100```3. tail命令tail命令用于显示文件末尾的内容，我们可以利用它来实时查看系统日志。

在终端中输入以下命令即可实时输出系统日志：```shelltail -f /var/log/syslog```二、管理系统日志1. 日志文件路径Linux系统的日志文件通常存储在`/var/log`目录下，常见的日志文件包括`syslog`、`messages`和`auth.log`等。

我们可以通过查看这些文件来了解系统的运行情况。

2. 清除日志文件在某些情况下，我们可能需要清除日志文件以释放磁盘空间。

可以使用以下命令清空日志文件：```shellsudo truncate -s 0 /var/log/syslog```此命令将清空`/var/log/syslog`文件的内容，但不会删除文件本身。

3. 日志旋转为了避免日志文件过大，Linux系统会自动进行日志文件的旋转。

旋转过后，原始日志文件会被重命名为`filename.1`、`filename.2`等，并且会创建一个新的空日志文件。

参数`/etc/logrotate.conf`配置文件定义了系统默认的日志旋转策略。

linux系统日志内容摘要：1.Linux 系统日志概述2.Linux 系统日志的作用3.Linux 系统日志的存放位置4.Linux 系统日志的查看方法5.Linux 系统日志的分析与处理6.Linux 系统日志的安全策略正文：Linux 系统日志概述Linux 系统日志是记录系统运行过程中发生的事件和错误的文本文件。

它详细记录了系统的各种操作和用户的行为，对于系统管理和故障排除具有重要的参考价值。

Linux 系统日志的作用系统日志主要有以下几个作用：1.帮助用户了解系统运行状况2.方便故障排查和恢复3.提供安全审计线索4.收集系统性能数据Linux 系统日志的存放位置Linux 系统日志主要存放于以下几个位置：1./var/log 目录：这是系统日志默认的存放目录，包含了各种服务的日志文件。

2./var/log/audit：安全审计日志目录，记录了系统的访问控制信息。

3./var/log/messages：系统消息日志，记录了系统产生的各种消息。

Linux 系统日志的查看方法1.使用命令行查看：使用`cat`、`tail`、`grep`等命令可以查看日志文件的内容。

2.使用日志查看工具：例如`journalctl`、`logwatch`等，可以方便地查看、搜索和过滤日志内容。

3.在图形界面中查看：有些Linux 发行版提供了图形界面的日志查看工具，如Ubuntu 的“系统监视器”。

Linux 系统日志的分析与处理1.分析日志：通过`grep`、`awk`等命令，可以对日志进行关键词搜索和统计分析。

2.处理日志：可以使用`logrotate`工具对日志文件进行轮转、压缩和删除操作，以保证日志文件不会过大。

Linux 系统日志的安全策略1.限制日志访问权限：将日志文件的权限设置为只有root 用户可读，防止未经授权的用户查看日志。

2.隐藏敏感信息：通过配置，使日志文件不记录敏感信息，如密码等。

3.定期备份日志：定期将日志文件备份到安全的地方，以防数据丢失。

使用logrotate命令进行日志文件管理作为系统管理员或者开发人员，我们经常需要管理服务器上的日志文件。

随着时间的推移，日志文件会越来越大，占用宝贵的磁盘空间。

此外，过多的日志文件也可能导致系统性能下降。

因此，对日志文件进行适当的管理是非常重要的。

在Linux系统中，我们可以使用logrotate命令来管理日志文件。

logrotate是一个常用的日志文件管理工具，它可以轮转、压缩和删除旧的日志文件，同时还可以通知服务进程刷新日志文件的句柄，以便记录新的日志。

下面是logrotate命令的一些常用选项：1. -d, --debug：调试模式，输出调试信息，但不进行实际操作；2. -f, --force：强制轮转日志文件，即使它们看起来不需要轮转；3. -s, --state <statefile>：指定状态文件的路径，默认为/var/lib/logrotate.status；4. -v, --verbose：详细输出轮转日志文件的操作信息；5. -c, --config <configfile>：指定使用的配置文件，默认为/etc/logrotate.conf。

下面是一个简单的logrotate配置文件示例：```/path/to/log/file {dailyrotate 7missingoknotifemptycompressdelaycompresssharedscriptspostrotate/bin/kill -HUP `cat /var/run/service.pid 2>/dev/null` 2>/dev/null || trueendscript}```在这个配置文件中，我们指定了一个需要进行日志轮转的日志文件路径。

接下来是一系列选项，以下是各个选项的解释：1. daily：每天轮转一次；2. rotate 7：保留7个旧的日志文件；3. missingok：如果日志文件不存在，继续进行后续的操作，而不是报错；4. notifempty：当日志文件为空时，不进行轮转；5. compress：轮转后的日志文件进行压缩（即添加.gz后缀）；6. delaycompress：延迟压缩，下一次轮转时才压缩上一次轮转的日志文件；7. sharedscripts：在轮转之前和之后，执行共享脚本；8. postrotate和endscript：在轮转之后，执行指定的脚本。

Linux命令行使用技巧如何查看和管理系统日志Linux系统日志被存储在/var/log目录下，确切地说，不同的日志类型被存储在不同的文件中。

通过在命令行中使用一些简单而强大的命令，可以查看和管理系统日志。

本文将介绍如何通过命令行查看和管理Linux系统日志，并提供一些有用的技巧。

一、查看日志文件1. dmesg：该命令用于显示内核环缓冲区的内容，包含了系统启动时的信息和内核加载的驱动程序信息。

例如：dmesg | less2. journalctl：该命令用于查看systemd日志，默认情况下，它会显示所有的系统日志。

例如：journalctl | less3. tail：该命令用于显示文件的末尾内容，默认情况下，它会显示文件的最后10行。

例如：tail /var/log/syslog如果想实时监视文件的变化，可以使用-f选项。

例如：tail -f /var/log/syslog二、过滤日志内容1. grep：该命令用于在文本文件中搜索指定的字符串。

例如：grep "error" /var/log/syslog2. awk：该命令用于提取和处理文本数据。

例如：cat /var/log/syslog | awk '/error/ {print $0}'上述命令将显示包含"error"的行。

三、管理日志文件1. cp：该命令用于复制文件。

例如：cp /var/log/syslog /tmp/syslog_backup上述命令将/var/log/syslog文件复制到/tmp/syslog_backup目录。

2. mv：该命令用于移动文件。

例如：mv /var/log/syslog /var/log/syslog.old上述命令将/var/log/syslog文件移动到/var/log/syslog.old。

3. rm：该命令用于删除文件。

例如：rm /var/log/syslog.old上述命令将删除/var/log/syslog.old文件。