CentOS 7 常用查看日志命令
1、系统日志
/var/log/messages:系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一。
/var/log/secure:与安全相关的日志信息,如登录、sudo操作等。
/var/log/maillog:与邮件相关的日志信息。
/var/log/cron:与定时任务相关的日志信息。
/var/log/boot.log:守护进程启动和停止相关的日志消息。
2、查看日志的方法
cat:用于查看整个日志文件内容,例如cat /var/log/messages。
less:分页查看日志文件,可以方便地浏览大文件,例如less /var/log/messages。
tail:查看文件末尾部分的内容,通常用于查看最新的日志条目,例如tail n 20 /var/log/messages(显示最后20行)。
grep:筛选包含特定关键词的日志行,例如grep "error" /var/log/messages。
journalctl:用于查看由systemd管理的日志,支持多种过滤和搜索功能,例如journalctl u httpd.service(查看httpd服务的日志)。
日志管理工具 journalctl
1、基本使用
查看所有日志:journalctl。
查看内核日志:journalctl k。
查看系统本次启动的日志:journalctl b。
查看上一次启动的日志:需更改设置以启用永久存储,然后使用journalctl b 1。
查看指定时间的日志:使用since和until选项,例如journalctl since "20171030 18:10:30"。
2、按服务过滤日志
查看特定服务的日志:journalctl u <服务名>.service,例如journalctl u httpd.service。
按进程ID过滤日志:journalctl _PID=<进程ID>。
按用户或群组ID过滤日志:journalctl _UID=<用户ID>或journalctl _GID=<群组ID>。
3、高级用法
实时滚动显示最新日志:journalctl f。
合并显示多个服务的日志:journalctl u nginx.service u phpfpm.service since today。
按优先级过滤日志:journalctl p <优先级>,例如journalctl p err(只显示错误级别及以上的日志)。
日志配置与优化
1、持久化存储
创建/var/log/journal目录并重启日志服务:
```bash
sudo mkdir /var/log/journal
sudo chown root:systemdjournal /var/log/journal
sudo chmod 2775 /var/log/journal
sudo systemctl restart systemdjournald.service
```
修改配置文件/etc/systemd/journald.conf,将Storage从auto改为persistent,然后重启日志服务。
2、日志数据清理
按大小清理日志:journalctl vacuumsize=1G。
按时间清理日志:journalctl vacuumtime=1d。
3、配置日志容量限制
编辑/etc/systemd/journald.conf文件,设置以下参数:
SystemMaxUse:指定日志所能使用的最高持久存储容量。
SystemKeepFree:指定在添加新条目时需要保留的剩余空间。
SystemMaxFileSize:控制单一日志文件大小。
RuntimeMaxUse:指定易失性存储中的最大可用磁盘容量。
RuntimeKeepFree:指定向易失性存储内写入数据时为其它应用保留的空间量。
RuntimeMaxFileSize:指定单一日志文件可占用的最大易失性存储容量。
相关问答 FAQs
1、如何查看CentOS 7中某个服务的日志?
可以使用journalctl u <服务名>.service命令来查看某个服务的日志,要查看httpd服务的日志,可以执行journalctl u httpd.service。
2、如何在CentOS 7中持久化保存日志?
可以通过以下步骤实现日志的持久化保存:
1. 创建/var/log/journal目录并设置权限:
```bash
sudo mkdir /var/log/journal
sudo chown root:systemdjournal /var/log/journal
sudo chmod 2775 /var/log/journal
```
2. 修改/etc/systemd/journald.conf配置文件,将Storage从auto改为persistent。
3. 重启systemdjournald服务:sudo systemctl restart systemdjournald.service。
