日志管理技巧

1. 日志轮转

   • 用logrotate自动轮转、压缩日志，避免文件过大。
     • 安装：sudo apt install logrotate
     • 配置：编辑/etc/logrotate.conf或/etc/logrotate.d/下自定义配置文件，设置轮转周期、保留数量等参数。
     • 手动测试：sudo logrotate -vf /etc/logrotate.conf。

2. 实时查看与过滤

   • tail -f：实时跟踪日志新增内容，如tail -f /var/log/syslog。
   • grep：搜索特定关键词，如grep "ERROR" /var/log/auth.log。
   • journalctl：查看systemd服务日志，支持时间范围过滤（--since/--until）。

3. 日志分析与可视化

   • 命令行分析：用awk提取特定字段（如日志时间），sed删除冗余内容。
   • 工具分析：
     • ELK Stack（Elasticsearch+Logstash+Kibana）：用于大规模日志的存储、搜索和可视化。
     • Logwatch：生成每日日志报告，统计错误、警告等信息。

4. 日志存储与清理

   • 定期清理旧日志：通过logrotate配置压缩或删除（如保留7天日志）。
   • 手动清理：删除压缩日志文件（/var/log/*.gz）或指定目录日志。

5. 安全与审计

   • 用auditd记录系统安全事件，生成审计报告（aureport）。
   • 配置rsyslog将关键日志（如认证失败）发送到远程服务器，避免本地日志被篡改。

关键日志文件位置

• 系统通用日志：/var/log/syslog
• 认证日志：/var/log/auth.log
• 内核日志：/var/log/kern.log
• 服务日志（如Nginx/Apache）：对应应用目录下的access.log/error.log

参考来源：