Логирование

Описание

За формирование логов отвечает системный демон rsyslogd
- Все логи записываются в var/log
С выпуском RHEL 7 за все системные процессы стал отвечать systemd
- Логирование стало осуществляться за счет демона systemd-journald
- systemd-journald концентрирует все сообщения, которые генерируются слуажбами systemd
- Логи при этом записываются в /dev/log
- Доступ к логам осуществляется через journalctl
- /dev/log также связан с rsyslogd, который контролирует запись этих логов и в /var/log
- journalctl работает только с systemd-journald, соответственно чтобы через него получать доступ к логам, необходимо для journald сформировать свой таргет логирования - /var/log/journal

Описание rsyslog

Для работы rsyslog необходим активный сервис rsyslogd
Главный конфигурационный файл хранится в /etc/rsyslog.conf

<....>
#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 :omusrmsg:*
<....>

Snap-in файлы могут располагаться в /etc/rsyslog.d/
Каждая строка логгера содерит следущие значения:
- facility - объект, для которого сформирован лог
- severity - уровень важности, с которого должно быть осуществлено логирование
- destination - назначение, в которое необходимо записать лог
Логи как правило записываются в /var/log
- команда logger записывает в rsyslog команды вручную

Описание facility:

rsyslog имеет (и должен иметь) обратную совместимость с архаичным syslog сервисом
В syslog определено фиксированное число объектов (kern, authpriv, cron и др.)
Для сервисов, у которых неопределены объекты, может использоваться local facility
Из-за ограниченности типов объектов, некоторые службы пишут логи сами, не используя rsyslog

Systemd-journald

Systemd-journald - служба логирования, являющаяся частью systemd
- Интегрирована с systemctl status <unit> (показывает последние сообщения лога в выводе статуса)
Для работы с systemd-journald используется команда journalctl
Сообщения записываются также и в rsyslog с использованием модуля imjournal для rsyslog
Для того, чтобы systemd-journald сохранял логи после перезагрузки необходимо создать ему директорию /var/log/journal
Конфигурация хранится в /etc/systemd/journald.conf
Вывод лога за службу

[admin@centos8 ~]$ journalctl UNIT=sshd
-- Logs begin at Fri 2020-02-14 20:35:33 MSK, end at Sat 2020-03-14 17:49:25 MSK. --
-- No entries --

Сохранение логов journald

По-умолчанию журнал записывается в /run/log/journal, который автоматически очищается при перезагрузке
Для изменения правила поведения при перезагрузке необходимо изменить настройки /etc/systemd/journald.conf
- Изменить необходимо параметр Storage
  - persistent - переключит сохранение логов в /var/log/journal, если директория не создана - создаст
  - volatile - сохранение логов только в /run/log/journal
  - auto - сохраняет в /var/log/journal, если директория есть, если ее нет - в /run/log/journal
Лог перезаписывается каждый месяц
Журнал логов не может занимать больше 10% пространства системы
И также логирование останавливается, если осталось менее 15% места в системе
- Эти настройки также могут быть изменены через /etc/systemd/journald.conf

Logrotate

Logrotate позволяет избежать переполнения системы логами
Запускается через cron.daily
Основные настройки хранятся в /etc/logrotate.conf, snap-in могут быть в /etc/logrotate.d/
По умолчанию:
- файлы логов обнуляются еженедельно
- логи хранятся не более, чем за 4 недели
- после удаление лога, создается новый файл, старый переименовывается с префиксом dataext

# see "man logrotate" for details
# rotate log files weekly
weekly

# keep 4 weeks worth of backlogs
rotate 4

# create new (empty) log files after rotating old ones
create

# use date as a suffix of the rotated file
dateext

# uncomment this if you want your log files compressed
#compress

# RPM packages drop log rotation information into this directory
include /etc/logrotate.d

# system-specific logs may be also be configured here.

PreviousПланирование задач NextХранилища

Last updated 4 years ago

Was this helpful?

Описание

За формирование логов отвечает системный демон rsyslogd

Все логи записываются в var/log

С выпуском RHEL 7 за все системные процессы стал отвечать systemd

Логирование стало осуществляться за счет демона systemd-journald
systemd-journald концентрирует все сообщения, которые генерируются слуажбами systemd
Логи при этом записываются в /dev/log
Доступ к логам осуществляется через journalctl
/dev/log также связан с rsyslogd, который контролирует запись этих логов и в /var/log
journalctl работает только с systemd-journald, соответственно чтобы через него получать доступ к логам, необходимо для journald сформировать свой таргет логирования - /var/log/journal

Описание rsyslog

Для работы rsyslog необходим активный сервис rsyslogd

Главный конфигурационный файл хранится в /etc/rsyslog.conf

<....>
#### RULES ####

# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.*                                                 /dev/console

# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

# The authpriv file has restricted access.
authpriv.*                                              /var/log/secure

# Log all the mail messages in one place.
mail.*                                                  -/var/log/maillog


# Log cron stuff
cron.*                                                  /var/log/cron

# Everybody gets emergency messages
*.emerg                                                 :omusrmsg:*
<....>

Snap-in файлы могут располагаться в /etc/rsyslog.d/

Каждая строка логгера содерит следущие значения:

facility - объект, для которого сформирован лог
severity - уровень важности, с которого должно быть осуществлено логирование
destination - назначение, в которое необходимо записать лог

Логи как правило записываются в /var/log

команда logger записывает в rsyslog команды вручную

Описание facility:

rsyslog имеет (и должен иметь) обратную совместимость с архаичным syslog сервисом

В syslog определено фиксированное число объектов (kern, authpriv, cron и др.)

Для сервисов, у которых неопределены объекты, может использоваться local facility

Из-за ограниченности типов объектов, некоторые службы пишут логи сами, не используя rsyslog

Systemd-journald

Systemd-journald - служба логирования, являющаяся частью systemd

Интегрирована с systemctl status <unit> (показывает последние сообщения лога в выводе статуса)

Для работы с systemd-journald используется команда journalctl

Сообщения записываются также и в rsyslog с использованием модуля imjournal для rsyslog

Для того, чтобы systemd-journald сохранял логи после перезагрузки необходимо создать ему директорию /var/log/journal

Конфигурация хранится в /etc/systemd/journald.conf

Вывод лога за службу

[admin@centos8 ~]$ journalctl UNIT=sshd
-- Logs begin at Fri 2020-02-14 20:35:33 MSK, end at Sat 2020-03-14 17:49:25 MSK. --
-- No entries --

Сохранение логов journald

По-умолчанию журнал записывается в /run/log/journal, который автоматически очищается при перезагрузке

Для изменения правила поведения при перезагрузке необходимо изменить настройки /etc/systemd/journald.conf

Изменить необходимо параметр Storage
- persistent - переключит сохранение логов в /var/log/journal, если директория не создана - создаст
- volatile - сохранение логов только в /run/log/journal
- auto - сохраняет в /var/log/journal, если директория есть, если ее нет - в /run/log/journal

Лог перезаписывается каждый месяц

Журнал логов не может занимать больше 10% пространства системы

И также логирование останавливается, если осталось менее 15% места в системе

Эти настройки также могут быть изменены через /etc/systemd/journald.conf

Logrotate

Logrotate позволяет избежать переполнения системы логами

Запускается через cron.daily

Основные настройки хранятся в /etc/logrotate.conf, snap-in могут быть в /etc/logrotate.d/

По умолчанию:

файлы логов обнуляются еженедельно
логи хранятся не более, чем за 4 недели
после удаление лога, создается новый файл, старый переименовывается с префиксом dataext

# see "man logrotate" for details
# rotate log files weekly
weekly

# keep 4 weeks worth of backlogs
rotate 4

# create new (empty) log files after rotating old ones
create

# use date as a suffix of the rotated file
dateext

# uncomment this if you want your log files compressed
#compress

# RPM packages drop log rotation information into this directory
include /etc/logrotate.d

# system-specific logs may be also be configured here.