CentOS Stream 8如何进行日志管理

CentOS Stream 8 日志管理实操指南

一核心组件与日志位置

二查看与过滤日志

使用 journalctl 高效检索：
- 查看本次启动日志：journalctl -b
- 实时跟踪：journalctl -f
- 查看指定服务：journalctl -u sshd（将 sshd 替换为你的服务名）
- 按时间范围：journalctl --since “2025-12-01 00:00:00” --until “2025-12-07 23:59:59”
- 按优先级：journalctl -p err（常用级别：emerg、alert、crit、err、warning、notice、info、debug）
- 仅内核日志：journalctl -k
- 查看磁盘占用：journalctl --disk-usage
查看传统日志文件：
- 分页查看：less /var/log/messages
- 关键字检索：grep “error” /var/log/messages
登录审计与内核启动信息：
- 登录历史：last、失败登录：lastb
- 内核启动输出：dmesg 或 journalctl -k。

三日志轮转与空间控制

使用 logrotate 管理日志大小与保留份数，配置文件位于 /etc/logrotate.conf 与 /etc/logrotate.d/。

示例（为自定义应用 /var/log/myapp.log 配置轮转）：

/var/log/myapp.log {
    daily
    rotate 7
    compress
    delaycompress
    missingok
    notifempty
    create 640 root adm
}

常用参数说明：
- daily/weekly/monthly：轮转周期
- rotate N：保留 N 个旧日志
- compress / delaycompress：压缩旧日志（delaycompress 常用于避免正在写入的日志被压缩）
- missingok / notifempty：文件缺失或为空时不报错/不轮转
- create：轮转后创建新文件的权限与属主属组
测试与执行：
- 强制测试轮转：logrotate -f /etc/logrotate.conf
- 通常由 /etc/cron.daily/logrotate 每日自动执行；可查看 /var/log/logrotate.log 了解轮转历史。

四持久化与远程集中

持久化 journald 日志（避免重启丢失）：
- 编辑 /etc/systemd/journald.conf，设置：Storage=persistent
- 重启服务：systemctl restart systemd-journald
- 查看占用：journalctl --disk-usage
远程集中与审计：
- 使用 rsyslog 将日志转发到远程日志服务器（在 rsyslog 配置中定义目标地址与协议）
- 启用 auditd 进行细粒度审计：编辑 /etc/audit/audit.rules，按需添加规则并重启 auditd 服务。

五分析与可视化工具

轻量分析：
- logwatch：安装：yum -y install logwatch；可定期汇总并邮件报告关键事件
集中化与可视化：
- ELK Stack（Elasticsearch、Logstash、Kibana）：收集、处理、存储与可视化日志
- Splunk：商业方案，强大的搜索、监控与可视化能力。

最新问答