【跟韩工学Ubuntu第7课】-第7章 日志管理:rsyslog、journald与logrotate-002篇
文章目录
- 📘 Ubuntu Server 运维 · 第7章 简明教程
- 日志管理:`journald`、`rsyslog` 与 `logrotate`
- 🔹 7.1 系统日志体系基础(一句话记住)
- 🔹 7.2 实战1:`journald` 使用(精准查日志,5步上手)
- ✅ 常用命令(复制即用)
- 💡 进阶技巧
- 🔹 7.3 实战2:`rsyslog` 配置(分类存 + 远程发)
- ✅ 核心逻辑:`facility.priority → action`
- 🛠 场景1:自定义应用日志存到 `/var/log/myapp/`
- 🌐 场景2:远程日志转发(发给 192.168.1.100 的 rsyslog 服务器)
- 🔹 7.4 实战3:`logrotate` 日志轮转(防磁盘爆炸)
- ✅ 核心配置项(一行一解释)
- 🧩 实战:为 `/var/log/myapp/app.log` 配置轮转
- ⚠️ 必查:防止轮转失效的3个坑
- 🔹 7.5 课后习题 + 实操任务(检验掌握度)
- ✅ 基础巩固(选择题)
- 🛠 综合实操(建议在虚拟机完成)
📘 Ubuntu Server 运维 · 第7章 简明教程
日志管理:journald、rsyslog与logrotate
✅ 教学目标:
- 理清 Ubuntu 双日志体系分工与存储位置
- 掌握
journalctl高效查错(5分钟定位服务异常)- 学会用
rsyslog实现日志分类存档 & 远程转发- 配置
logrotate防止/var/log磁盘爆满(运维底线技能)
🔹 7.1 系统日志体系基础(一句话记住)
Ubuntu 使用“双引擎日志架构”:
| 组件 | 类型 | 存储位置 | 特点 | 查看方式 |
|---|---|---|---|---|
systemd-journald | 二进制、结构化、带元数据 | /run/log/journal/(内存)/var/log/journal/(持久化后) | 启动早、含 PID/UID/COMM 等字段,不可直接cat | journalctl命令 |
rsyslogd | 纯文本、高度可配、兼容传统 | /var/log/*.log(如syslog,auth.log,kern.log) | 企业标配,支持网络转发、过滤、归档 | tail,less,grep |
✅关键路径速记(必背):
journalctl日志 →/var/log/journal/(需手动启用持久化)- 文本日志主目录 →
/var/log/ - 认证日志 →
/var/log/auth.log(查 SSH 登录、sudo 操作) - 系统综合日志 →
/var/log/syslog(日常排查首选) - 内核日志 →
/var/log/kern.log(查驱动、硬件报错)
⚠️ 警示:/var/log/分区占满 → 服务崩溃、系统假死!轮转是刚需,非可选项。
🔹 7.2 实战1:journald使用(精准查日志,5步上手)
✅ 常用命令(复制即用)
| 场景 | 命令 | 说明 |
|---|---|---|
| 🔍 查本次启动全部日志 | journalctl -b | -b= boot,最常用起点 |
| 🚨 查最近1小时错误 | journalctl --since "1h ago" -p err | -p err过滤 error 及以上级别 |
| 📡 查某服务(如 Nginx) | journalctl -u nginx.service -n 30 | -n 30显示最后30行;加-f实时跟踪 |
| 🕒 查指定时间段 | journalctl --since "2026-03-28 08:00" --until "2026-03-28 09:00" | 支持自然语言,精准回溯故障窗口 |
| 🧩 查某用户所有操作 | journalctl _UID=1000 | _UID是结构化字段,比grep更准 |
💡 进阶技巧
- 导出为文本便于分析: