centos日志文件位置及管理方法 - 问答

CentOS 日志文件位置与管理方法

一日志文件位置与用途

路径	用途
/var/log/messages	系统常规消息（非内核、非认证）
/var/log/secure	认证与安全相关（如登录、sudo）
/var/log/cron	计划任务日志
/var/log/boot.log	系统启动过程日志
/var/log/dmesg	内核环缓冲（硬件、驱动）信息
/var/log/yum.log	YUM 包管理操作日志
/var/log/audit/audit.log	审计日志（auditd）
/var/log/maillog 或 /var/maillog	邮件服务日志
/var/log/httpd/ 或 /var/log/nginx/	Web 服务访问与错误日志
/var/log/mysqld.log	MySQL 服务日志
/var/log/wtmp、/var/log/btmp、/var/log/lastlog	登录会话记录（配合命令：w、last、lastlog）

二查看与分析日志

传统文本日志常用命令：
- 实时查看：tail -f /var/log/messages
- 关键字过滤：grep “error” /var/log/messages
systemd 日志（journald）常用命令：
- 查看全部：journalctl
- 实时跟踪：journalctl -f
- 按服务查看：journalctl -u httpd.service
- 按时间范围：journalctl --since “2025-12-01” --until “2025-12-05”
- 按优先级：journalctl -p err
- 查看本次启动：journalctl -b
登录类日志辅助命令：w、last、lastlog。

三日志轮转与保留策略 logrotate

配置文件与机制：
- 主配置：/etc/logrotate.conf；按服务拆分：/etc/logrotate.d/（推荐在子配置中管理）
- 常用指令：daily/weekly/monthly、rotate N、compress、delaycompress、missingok、notifempty、create、dateext、minsize、maxsize
示例（精简版）：
- 全局默认（/etc/logrotate.conf 片段）：
  - weekly、rotate 4、create、dateext
- YUM 日志（/etc/logrotate.d/yum 片段）：
  - missingok、notifempty、maxsize 30k、create 0600 root root
手动触发与状态：
- 立即执行：/usr/sbin/logrotate /etc/logrotate.conf
- 指定状态文件：/usr/sbin/logrotate -s /var/lib/logrotate/logrotate.status /etc/logrotate.conf

四清理与维护

清理 systemd 日志（journald）：
- 按时间保留：journalctl --vacuum-time=2d
- 按容量保留：journalctl --vacuum-size=500M
- 先轮转再清理：journalctl --rotate && journalctl --vacuum-time=2weeks
清理传统日志文件的安全做法：
- 不建议直接删除正在写入的日志；优先通过 logrotate 轮转与压缩归档
- 若必须快速释放空间，可先清空（而非删除）文件：> /var/log/messages（确保服务允许）
- 清理前先备份重要日志，清理后验证服务与日志写入是否正常
磁盘与目录巡检：
- 查看占用：df -lh、du -sh /var/log/*

五集中化与长期保存

远程日志（rsyslog 发送）：
- 配置行（/etc/rsyslog.conf 或 /etc/rsyslog.d/ 下新增）：“. @remote_server_ip:514”
- 重启服务：systemctl restart rsyslog
持久化 systemd 日志：
- 编辑：/etc/systemd/journald.conf，设置 Storage=persistent
- 重启服务：systemctl restart systemd-journald
日志分析与可视化：
- 轻量分析：Logwatch
- 集中平台：ELK Stack（Elasticsearch、Logstash、Kibana）、Splunk、Fluentd

0 赞

0 踩