1. 使用journalctl命令高效查看systemd日志
journalctl是CentOS(7及以上版本)默认的日志管理工具,可查看、过滤systemd服务的日志。常用命令包括:journalctl(查看所有日志)、journalctl -u sshd(查看sshd服务日志)、journalctl --since "2025-10-20"(查看指定日期后的日志)、journalctl -f(实时跟踪日志更新)。这些命令能快速定位系统或服务的问题,如服务崩溃、启动错误等。
2. 配置rsyslog实现日志分类存储
rsyslog是CentOS默认的日志守护进程,可通过修改配置文件(/etc/rsyslog.conf或/etc/rsyslog.d/*.conf)实现日志分类。例如,将安全日志(authpriv.*)存储到/var/log/secure,将内核日志(kern.*)存储到/var/log/kern.log,将应用日志(如nginx的local7.*)存储到/var/log/nginx.log。配置完成后重启rsyslog服务(systemctl restart rsyslog)使生效,便于后续针对性管理。
3. 用logrotate自动化日志轮转
logrotate可防止日志文件过大占用磁盘空间,支持按时间(daily/weekly/monthly)或大小(size 100M)轮转。默认配置文件位于/etc/logrotate.conf,自定义配置可放在/etc/logrotate.d/目录下(如/etc/logrotate.d/nginx)。示例配置:/var/log/nginx/*.log { daily rotate 7 compress missingok notifempty create 640 root adm },表示每天轮转、保留7个压缩文件、空文件不轮转、创建新文件并设置权限。可通过logrotate -f /etc/logrotate.d/nginx强制测试配置。
4. 利用Auditd监控安全审计事件
Auditd是Linux审计工具,可记录系统安全事件(如用户登录、文件访问、命令执行)。通过编辑/etc/audit/audit.rules添加规则(如-w /etc/passwd -p wa -k passwd_changes监控passwd文件修改),重启auditd服务(systemctl restart auditd)后,日志会存储到/var/log/audit/audit.log。结合ausearch命令(如ausearch -k passwd_changes)可快速检索特定事件的详细信息,提升安全审计能力。
5. 优化日志级别减少不必要的日志生成
通过调整rsyslog或服务的日志级别,可减少冗余日志。例如,在/etc/rsyslog.conf中设置*.info;mail.none;authpriv.none;cron.none /var/log/messages,仅记录info级别及以上日志(排除mail、authpriv、cron的日志);或在nginx配置中设置error_log /var/log/nginx/error.log warn,将nginx错误日志级别调整为warn(仅记录警告及以上错误),降低日志体积。
6. 限制日志文件访问权限保障安全
为防止日志文件被未授权访问,可通过以下方式限制权限:
chown root:adm /var/log/syslog);chmod 640 /var/log/syslog),允许root和adm组成员读取;groupadd loggers),将需要访问日志的用户加入该组(usermod -aG loggers user1),并修改日志文件属组为loggers。这些操作能有效防止敏感日志泄露。7. 使用ELK Stack进行高级日志分析与可视化
对于大规模日志管理,可使用ELK(Elasticsearch+Logstash+Kibana)堆栈。步骤如下:
/var/log/*.log),并发送到Elasticsearch;logstash-*),通过Dashboard展示日志趋势、错误统计、关键词搜索等可视化结果,便于快速分析和决策。8. 定期清理旧日志释放磁盘空间
即使使用logrotate,也需定期检查日志目录(如/var/log)的磁盘使用情况(df -h /var/log)。对于不再需要的旧日志(如超过30天的备份日志),可使用find命令清理:find /var/log -name "*.gz" -mtime +30 -exec rm -f {} \;(删除30天前的.gz压缩日志),避免磁盘空间耗尽导致系统故障。
