117笔记问答在CentOS Stream 8中进行日志管理,可以采用以下几种方法:
1. 使用 journalctl 命令查看和管理系统日志
journalctl 是 systemd 的日志守护进程,用于集中管理日志。你可以使用以下命令来查看和管理日志:
-
查看最近的系统日志:
journalctl -u systemd.service
-
实时显示最近的日志:
journalctl -f
-
按时间倒序打印日志消息:
journalctl -r
-
只显示内核日志:
journalctl -k
-
过滤特定服务日志:
journalctl _SYSTEMD_UNIT=systemd.service
2. 使用 rsyslog 或 syslog-ng 作为日志守护进程
rsyslog 和 syslog-ng 是功能强大的日志管理工具,可以配置日志规则,将日志发送到不同的目标,如文件、远程服务器等。
-
安装
rsyslog:yum install rsyslog
-
配置
rsyslog: 编辑/etc/rsyslog.conf文件,配置日志记录规则。例如:$ModLoad imudp InputTCPServerRun 514 InputUDPServerRun 514
3. 使用 logrotate 自动轮换日志文件
logrotate 用于管理日志文件的轮换,防止日志文件过大。
-
安装
logrotate:yum install logrotate
-
配置
logrotate: 创建或编辑/etc/logrotate.d/rsyslog文件,定义日志轮换规则。例如:/var/log/messages { daily rotate 7 compress missingok notifempty }
4. 使用 ELK Stack 进行日志分析和可视化
ELK Stack(Elasticsearch、Logstash、Kibana)是一个强大的日志分析和可视化工具。
-
安装 ELK Stack:
yum install elasticsearch logstash kibana
-
配置 Logstash: 编辑
/etc/logstash/conf.d/logstash.conf文件,配置日志收集和转发规则。
5. 使用 Auditd 监控和记录系统审计事件
Auditd 是一个用于监控和记录系统审计事件的工具。
-
启用 Auditd: 编辑
/etc/audit/audit.rules文件,添加所需的规则。 -
重启 Auditd 服务:
systemctl restart auditd
6. 使用 Sysstat 收集系统性能和活动信息
Sysstat 是一个用于收集系统性能和活动信息的工具,包括 CPU 使用率、内存使用情况、磁盘 I/O 等。
-
安装 Sysstat:
yum install sysstat
-
查看系统统计信息:
sar -u