關機 ron pri 內核 有用 規則 rsyslog 所有者 事件

（1）rsyslogd的服務：
查看服務是否啟動：ps aux | grep rsyslogd
查看服務是否自啟動：chkconfig --list | grep rsyslog
配置文件 ： /etc/rsyslog.conf
服務名稱 [連接符號] 日誌等級 日誌記錄位置
authpriv.* /var/log/secure
#認證相關服務.所有日誌等級 記錄在/var/log/secure中
服務名稱
auth ：安全和認證相關信息
authpriv ：安全和認證相關信息，私有的
cron ：系統定時任務cront和at產生的日誌
daemon ：和各個守護進程相關的日誌

ftp ：ftp守護進程產生的日誌
kern ：內核產生的日誌，不是用戶進程產生的
local0-local7 ： 為本地使用預留的服務
lpr ： 打印產生的日誌
mail ：郵件收發信息
news ：與新聞服務器相關的日誌
syslog ：syslogd產生的日誌
user ： 用戶等級類別的日誌信息
uucp ：uucp子系統的日誌信息
（2）常見日誌的作用
/var/log/cron ：記錄系統定時任務的相關日誌
/var/log/cups/ ：記錄打印信息的日誌
/var/log/dmesg ：記錄了系統在開機時內核的自檢信息
/var/log/btmp ：記錄錯誤登錄的日誌。需用lastb命令查看
/var/log/lastlog ：所有用戶最後一次登錄時間。需用lastb命令查看
/var/log/maillog ：記錄郵件信息
/var/log/messages ：記錄系統重要信息，首要查看此日誌。
/var/log/secure ：記錄授權驗證方面的信息，只要涉及用戶，密碼的程序都會記錄
/var/log/wtmp ：永久記錄所有用戶的登錄註銷信息，同時記錄系統的啟動，關機時間。用last查看
/var/run/utmp ：記錄當前已經登錄的用戶信息。只記錄當前用戶的信息，隨著用戶的登錄註銷變化。用w，who，users來查詢
rpm包安裝的日誌在/var/log/中
（3）日誌格式
事件產生的時間；
發生事件的服務器主機名；
產生事件的服務名或程序名；
事件的具體信息。
（4）日誌輪替
1.日誌文件的命名規則
如果配置文件中擁有“dateext”參數，日誌就會加上日期，如：log-20160101
如果沒有，新的日誌名為log，老的自動變為log.1
2.logrotate配置文件
daily ：日誌輪替周期是每天
weekly ：日誌輪替周期是每周
monthly ：日誌輪替周期是每月
rotate n ：保留日誌文件的個數。0指沒有備份
compress ：日誌輪替時，就日誌進行壓縮
create mode owner group ：建立新日誌，並制定新日誌的權限與所有者和所屬組，如：create 0600 root utmp
mail address ：當日誌輪替時，輸出內容發到郵箱
missingok ：日誌不存在則忽略該日誌的警告信息
notifempty ：日誌為空則不輪替
minsize 大小：日誌輪替最小值，日誌達到最小值才輪替，否則到期也不輪替
size 大小 ：日誌只有大於指定大小才輪替，而不按照時間
dateext ：使用日期作為後綴
3.logrotate [選項] 配置文件
-v ：顯示日誌輪替過程
-f ：強行進行日誌輪替

Linux筆記（十四） - 日誌管理