CentOS环境下的日志管理技巧

CentOS环境下日志管理的核心技巧

1. 日志查看：精准定位问题

• journalctl命令：用于查看systemd管理的日志（CentOS 7及以上）。常用选项：
  • journalctl -n 100：查看最近100条日志；
  • journalctl -k：查看内核日志；
  • journalctl -b：查看本次启动的日志；
  • journalctl -f：实时跟踪日志变化；
  • journalctl grep "error"：搜索包含“error”的日志行（支持正则表达式）。
• 传统日志文件：通过tail -f /var/log/messages（系统一般信息）、tail -f /var/log/secure（安全日志，如SSH登录）实时查看；用grep "keyword" /var/log/syslog搜索特定关键词。

2. 日志轮转：防止日志膨胀

• logrotate工具：CentOS默认安装，用于自动轮转、压缩、删除旧日志。
  • 全局配置：编辑/etc/logrotate.conf，设置基础规则（如rotate 7保留7天日志、compress压缩旧日志、missingok日志丢失不报错）。
  • 自定义配置：在/etc/logrotate.d/下创建服务专属文件（如/etc/logrotate.d/nginx），示例：

    /var/log/nginx/*.log {
        daily          # 每天轮转
        rotate 30      # 保留30个归档
        compress       # 压缩旧日志
        delaycompress  # 延迟压缩（下一次轮转时压缩上一次的归档）
        missingok      # 日志丢失不报错
        notifempty     # 日志为空不轮转
        create 0640 nginx nginx  # 新日志权限、属主、属组
        sharedscripts  # 所有日志轮转完成后执行脚本
        postrotate
            /bin/kill -USR1 `cat /var/run/nginx.pid` 2>/dev/null || true  # 通知nginx重新打开日志文件
        endscript
    }
    

  • 手动测试：用sudo logrotate -f /etc/logrotate.d/nginx强制轮转（即使未到轮转时间）。

3. 日志分析：从数据中获取价值

• 命令行工具：
  • grep：过滤关键词（如grep "failed" /var/log/secure查看登录失败记录）；
  • awk：提取特定字段（如awk '{print $1,$9}' /var/log/messages提取时间戳和进程名）；
  • sort/uniq：统计频率（如grep "error" /var/log/syslog | sort | uniq -c | sort -nr统计错误类型及次数）。
• 专用工具：
  • Logwatch：CentOS自带，自动生成日志报告并发送至root邮箱（sudo yum install logwatch && systemctl enable --now logwatch）。
  • ELK Stack：开源解决方案（Elasticsearch存储/索引、Logstash收集/处理、Kibana可视化），适合大规模日志分析（需部署Elasticsearch、Logstash、Kibana并配置数据管道）。
  • GoAccess：实时分析Web日志（如Nginx的access.log），支持导出HTML/JSON报告（goaccess /var/log/nginx/access.log -o report.html --log-format=COMBINED）。

4. 日志清理：释放磁盘空间

• journalctl清理：
  • 清理旧日志（保留1周）：journalctl --vacuum-time=1w；
  • 清理小容量日志（保留500MB）：journalctl --vacuum-size=500M；
  • 清理特定服务日志（如ssh）：journalctl --vacuum-by-service ssh.service。
• 手动删除：用find命令删除30天以上的.log文件（谨慎操作，避免删除正在使用的日志）：

  find /var/log -type f -name "*.log" -mtime +30 -exec rm -f {} \;
  

• 配置自动清理：通过logrotate的maxage参数设置日志保留天数（如maxage 30保留30天），或通过cron定时运行logrotate（默认每天执行/etc/cron.daily/logrotate）。

5. 日志安全：保护关键信息

• 权限控制：设置日志文件权限为640（属主root，属组adm/syslog），防止未授权访问：

  chown root:adm /var/log/messages
  chmod 640 /var/log/messages
  

• 审计日志：使用auditd监控关键目录（如/var/log），记录文件访问/修改行为：
  • 安装：sudo yum install audit；
  • 添加规则：auditctl -w /var/log/ -p wa -k log_audit（监控/var/log目录的写和属性变更）；
  • 查询记录：ausearch -k log_audit（查看审计日志）。

6. 集中管理：分布式系统必备

• rsyslog：将日志发送到远程服务器，实现集中存储。编辑/etc/rsyslog.conf，添加：

  *.* @192.168.1.100:514  # UDP转发（514端口）
  *.* @@192.168.1.100:514 # TCP转发（更可靠）
  

  重启rsyslog服务：systemctl restart rsyslog。
• ELK Stack：搭建集中式日志平台，将各服务器日志发送到Logstash，存储到Elasticsearch，通过Kibana可视化分析（适合企业级需求）。