CentOS環境下的日志管理技巧

CentOS環境下日志管理的核心技巧

1. 日志查看：精準定位問題

• journalctl命令：用于查看systemd管理的日志（CentOS 7及以上）。常用選項：
  • journalctl -n 100：查看最近100條日志；
  • journalctl -k：查看內核日志；
  • journalctl -b：查看本次啟動的日志；
  • journalctl -f：實時跟蹤日志變化；
  • journalctl grep "error"：搜索包含“error”的日志行（支持正則表達式）。
• 傳統日志文件：通過tail -f /var/log/messages（系統一般信息）、tail -f /var/log/secure（安全日志，如SSH登錄）實時查看；用grep "keyword" /var/log/syslog搜索特定關鍵詞。

2. 日志輪轉：防止日志膨脹

• logrotate工具：CentOS默認安裝，用于自動輪轉、壓縮、刪除舊日志。
  • 全局配置：編輯/etc/logrotate.conf，設置基礎規則（如rotate 7保留7天日志、compress壓縮舊日志、missingok日志丟失不報錯）。
  • 自定義配置：在/etc/logrotate.d/下創建服務專屬文件（如/etc/logrotate.d/nginx），示例：

    /var/log/nginx/*.log {
        daily          # 每天輪轉
        rotate 30      # 保留30個歸檔
        compress       # 壓縮舊日志
        delaycompress  # 延遲壓縮（下一次輪轉時壓縮上一次的歸檔）
        missingok      # 日志丟失不報錯
        notifempty     # 日志為空不輪轉
        create 0640 nginx nginx  # 新日志權限、屬主、屬組
        sharedscripts  # 所有日志輪轉完成后執行腳本
        postrotate
            /bin/kill -USR1 `cat /var/run/nginx.pid` 2>/dev/null || true  # 通知nginx重新打開日志文件
        endscript
    }
    

  • 手動測試：用sudo logrotate -f /etc/logrotate.d/nginx強制輪轉（即使未到輪轉時間）。

3. 日志分析：從數據中獲取價值

• 命令行工具：
  • grep：過濾關鍵詞（如grep "failed" /var/log/secure查看登錄失敗記錄）；
  • awk：提取特定字段（如awk '{print $1,$9}' /var/log/messages提取時間戳和進程名）；
  • sort/uniq：統計頻率（如grep "error" /var/log/syslog | sort | uniq -c | sort -nr統計錯誤類型及次數）。
• 專用工具：
  • Logwatch：CentOS自帶，自動生成日志報告并發送至root郵箱（sudo yum install logwatch && systemctl enable --now logwatch）。
  • ELK Stack：開源解決方案（Elasticsearch存儲/索引、Logstash收集/處理、Kibana可視化），適合大規模日志分析（需部署Elasticsearch、Logstash、Kibana并配置數據管道）。
  • GoAccess：實時分析Web日志（如Nginx的access.log），支持導出HTML/JSON報告（goaccess /var/log/nginx/access.log -o report.html --log-format=COMBINED）。

4. 日志清理：釋放磁盤空間

• journalctl清理：
  • 清理舊日志（保留1周）：journalctl --vacuum-time=1w；
  • 清理小容量日志（保留500MB）：journalctl --vacuum-size=500M；
  • 清理特定服務日志（如ssh）：journalctl --vacuum-by-service ssh.service。
• 手動刪除：用find命令刪除30天以上的.log文件（謹慎操作，避免刪除正在使用的日志）：

  find /var/log -type f -name "*.log" -mtime +30 -exec rm -f {} \;
  

• 配置自動清理：通過logrotate的maxage參數設置日志保留天數（如maxage 30保留30天），或通過cron定時運行logrotate（默認每天執行/etc/cron.daily/logrotate）。

5. 日志安全：保護關鍵信息

• 權限控制：設置日志文件權限為640（屬主root，屬組adm/syslog），防止未授權訪問：

  chown root:adm /var/log/messages
  chmod 640 /var/log/messages
  

• 審計日志：使用auditd監控關鍵目錄（如/var/log），記錄文件訪問/修改行為：
  • 安裝：sudo yum install audit；
  • 添加規則：auditctl -w /var/log/ -p wa -k log_audit（監控/var/log目錄的寫和屬性變更）；
  • 查詢記錄：ausearch -k log_audit（查看審計日志）。

6. 集中管理：分布式系統必備

• rsyslog：將日志發送到遠程服務器，實現集中存儲。編輯/etc/rsyslog.conf，添加：

  *.* @192.168.1.100:514  # UDP轉發（514端口）
  *.* @@192.168.1.100:514 # TCP轉發（更可靠）
  

  重啟rsyslog服務：systemctl restart rsyslog。
• ELK Stack：搭建集中式日志平臺，將各服務器日志發送到Logstash，存儲到Elasticsearch，通過Kibana可視化分析（適合企業級需求）。