linux运维-log日志管理

日志管理：
/var/log


dmessage 核心启动日志
messages 系统报错或重启服务等日志，十分重要
maillog 邮件日志
cron 计划任务日志
secure 验证系统登陆相关信息 pam等


wtmp 记录所有的登入等出日志
last查看所有登陆过系统的用户和IP
清空日志等方法  echo > /var/log/wtmp
lastlog 记录每个用户最后登陆的信息
btmp 记录错误的登陆尝试
lastb 查看谁尝试登陆过系统





日志记录方式：先分类，然后每个类中在分级别


七种日志分类：
authpriv 安全认证相关
cron at和cron定时相关的
daemon 后天进程相关的
kern 内核相关的
lpr 打印系统相关的
mail 邮件系统相关的
syslog 日志服务本身
news 新闻系统（和BBS差不多，新闻组）


local0-7，系统保留的8个日志，用于自定义


级别
debug 调试信息，开发人员
info 正常信息
notice 通知
warn 警告
error 错误日志
critical 关键错误
alert 警报警惕




rsyslog管理各类的日志


/etc/rsyslog.conf配置文件
*.info info级别以上的所有类型日志信息
kern.* 内核类型的所有日志
*.info;mail.noneinfo级别以上的所有类型日志信息，排除mail类型的日志
.= 仅记录等于xxx的日志
.! 不记录等于xxx的日志

记录日志的位置：
日志的相对路径 /var/log
远程日志服务器上
有事日志会直接弹出在命令行内    
wall aaa 所有登陆linux的虚端用户都会收到这个信息
mail.* -/var/log/mail
- 号的作用是，避免频繁的io读写，日志先缓存