文章目录Ubuntu Server 运维实战教程 第7章 日志管理:rsyslog、journald与logrotate前言 本章学习目标与核心价值7.1 系统日志体系基础(理论铺垫,贴合教学逻辑)7.1.1 Linux日志核心作用7.1.2 日志分类:按来源与功能划分1. 系统内核日志2. 系统服务日志3. 应用服务日志7.1.3 Ubuntu Server 日志默认存储路径7.1.4 日志级别:日志优先级划分7.2 实战1:journald使用(journalctl日志查询、过滤、导出)7.2.1 journald与journalctl核心概念7.2.2 基础查询:journalctl常用基础命令1. 查看全部日志(默认按时间正序)2. 实时滚动查看最新日志(类似tail -f)3. 查看最新N行日志4. 查看内核专属日志5. 查看系统启动日志7.2.3 高级过滤:精准定位目标日志1. 按日志级别过滤2. 按服务名称过滤(运维最常用)3. 按时间范围过滤4. 按用户ID、进程ID过滤7.2.4 日志导出、清理与持久化配置1. 导出日志为文本文件2. 日志持久化配置3. 清理过期日志(释放磁盘空间)7.2.5 journalctl常见故障排错7.3 实战2:rsyslog配置(日志转发、自定义存储路径)7.3.1 rsyslog服务核心概述7.3.2 rsyslog核心配置文件详解1. 配置文件语法规则2. 主配置文件核心模块7.3.3 实战1:自定义日志存储路径7.3.4 实战2:跨服务器日志转发(集中式日志)环境准备步骤1:配置日志服务器(接收日志)步骤2:配置日志客户端(发送日志)验证转发效果7.3.5 rsyslog常见故障排错7.4 实战3:logrotate日志轮转(避免磁盘占满)7.4.1 日志轮转核心作用7.4.2 logrotate配置体系7.4.3 logrotate核心配置参数7.4.4 实战1:配置系统日志轮转7.4.5 实战2:自定义应用日志轮转(Nginx)7.4.6 logrotate定时任务与排错常见故障排错7.5 课后习题+实操任务7.5.1 理论习题(单选+多选+简答题)一、单选题二、多选题三、简答题7.5.2 实操任务(全程可在Ubuntu Server执行)任务1:journalctl日志查询实战任务2:rsyslog自定义配置实战任务3:logrotate日志轮转实战(核心任务)7.5.3 习题答案与实操指导单选题答案多选题答案实操指导本章总结Ubuntu Server 运维实战教程 第7章 日志管理:rsyslog、journald与logrotate前言 本章学习目标与核心价值日志是Linux服务器运维的核心组成部分,相当于服务器的“黑匣子”,记录了系统启动、运行、服务调用、用户操作、故障报错、安全事件等全部关键信息,是排查故障、监控系统状态、追溯安全问题、优化服务器性能的核心依据。对于Ubuntu Server运维人员而言,熟练掌握日志管理体系,能够快速定位系统故障根源、防范安全风险、避免日志文件占满磁盘导致服务器宕机,是运维岗位必备的核心技能。本章聚焦Ubuntu Server默认日志管理体系,围绕**journald(系统日志收集服务)、rsyslog(传统日志转发与存储服务)、logrotate(日志轮转工具)**三大核心组件展开教学,从日志基础理论入手,逐步深入实战操作,全程搭配命令示例、配置文件详解、故障排错案例,最终实现“看懂日志、查询日志、配置日志、管理日志、轮转日志”的全流程掌握。本章学习目标:理解Linux系统日志分类、存储路径、日志级别核心理论,搭建日志管理知识框架熟练使用journalctl命令查询、过滤、导出、清理journald日志,适配现代Linux日志管理掌握rsyslog配置语法,实现自定义日志存储、跨服务器日志转发、服务专属日志配置精通logrotate日志轮转规则配置,解决日志文件过大、磁盘占满的常见运维问题具备独立排查日志相关故障、搭建规范化日志管理方案的实战能力本章适用人群:Ubuntu Server运维初学者、系统管理员、运维工程师、计算机相关专业学生,无需高深Linux基础,全程实操化教学,上手即用。7.1 系统日志体系基础(理论铺垫,贴合教学逻辑)7.1.1 Linux日志核心作用在Ubuntu Server系统中,日志并非可有可无的文件,而是运维工作的核心抓手,其核心作用主要体现在以下五个方面:故障排查:服务器无法启动、服务崩溃、网络不通、权限报错等问题,均可通过日志定位报错信息、根源问题安全审计:记录用户登录、操作指令、远程访问、异常登录尝试,追溯安全入侵、非法操作事件性能监控:记录系统资源占用、服务响应状态、磁盘IO、内存使用情况,分析服务器性能瓶颈合规留存:满足企业运维、服务器管理的合规要求,留存系统运行记录,便于后期审计核查服务调试:部署Web服务、数据库、中间件时,通过日志排查配置错误、服务启动失败问题7.1.2 日志分类:按来源与功能划分Ubuntu Server的日志按照生成来源、功能用途,可分为三大类,每类日志对应不同的运维场景,清晰区分有助于快速定位所需日志文件。1. 系统内核日志记录Linux内核运行、硬件驱动加载、系统启动、内存管理、进程调度、硬件交互等核心信息,属于系统底层日志,通常在系统启动、硬件故障、内核报错时查看。2. 系统服务日志记录系统自带服务(如SSH、Network、rsyslog、cron定时任务)的运行状态、启动停止、报错信息,是日常运维最常用的日志类型,覆盖绝大多数系统级故障排查场景。3. 应用服务日志记录第三方部署的应用服务(如Nginx、Apache、MySQL、Docker、Java应用)生成的专属日志,由应用自身或rsyslog收集,用于排查应用运行、访问、报错问题,属于业务层运维日志。7.1.3 Ubuntu Server 日志默认存储路径Ubuntu Server沿用Debian系Linux日志存储规范,核心日志文件统一存放于**/var/log**目录,该目录是Linux系统日志的默认存储位置,不同子目录、文件对应不同类型日志,运维人员需熟记核心日志路径。日志文件/目录存储内容查看场景/var/log/syslog系统全局通用日志,绝大多数系统服务、内核、应用的汇总日志,Ubuntu默认核心日志日常系统故障、服务异常、启动报错通用排查/var/log/auth.log安全认证日志,记录用户登录、SSH登录、sudo权限操作、用户认证失败信息安全审计、异常登录、权限问题排查/var/log/dmesg内核环形缓冲区日志,硬件驱动、系统启动、内核初始化信息硬件故障、驱动加载失败、系统启动异常/var/log/kern.log内核专属日志,比dmesg更全面,记录内核运行全流程信息内核报错、系统崩溃、底层硬件问题/var/log/cron.log定时任务cron运行日志,记录定时任务执行、启动、报错情况定时任务未执行、执行失败排查/var/log/nginx/Nginx服务访问日志、错误日志,安装Nginx后自动生成Web服务访问、页面报错、反向代理故障/var/log/journal/journald二进制日志存储目录,systemd管理的系统日志,非文本格式通过journalctl命令查看,现代Ubuntu默认启用教学重点提示:Ubuntu 16.04及之后版本,采用systemd初始化系统,配套引入journald日志服务,与传统rsyslog服务并存,journald负责收集内核、systemd服务日志,rsyslog负责将日志持久化存储为文本文件至/var/log目录,二者协同工作,构成Ubuntu完整日志体系。7.1.4 日志级别:日志优先级划分Linux系统为日志划分了8个优先级,从高到低排序,用于区分日志重要程度,无论是journald还是rsyslog,均遵循该级别规范,便于过滤关键报错、忽略冗余信息。级别编码级别名称含义运维场景0emerg(紧急)系统崩溃、无法使用,最高级别告警服务器宕机、内核panic1alert(警戒)必须立即处理的问题磁盘满、服务卡死2crit(严重)严重故障,服务无法正常运行数据库崩溃、硬盘报错3err(错误)普通错误,服务部分功能异常配置错误、文件缺失4warning(警告)预警信息,非错误但需关注内存不足、配置不规范5notice(注意)正常但重要的系统信息服务启动、用户登录6info(信息)常规运行信息,无异常服务正常运行、网络连接7debug(调试)调试信息,冗余度最高应用调试、开发排查教学小结:本节为日志管理的理论基础,核心掌握日志分类、/var/log核心存储路径、日志级别三大知识点,后续实战操作均基于此理论展开,理解基础逻辑后,实操环节将更易上手。7.2 实战1:journald使用(journalctl日志查询、过滤、导出)7.2.1 journald与journalctl核心概念journald是systemd自带的日志收集服务,全程为systemd-journald.service,是Ubuntu Server现代日志体系的核心组件,负责收集内核日志、systemd管理的所有服务日志、启动日志,区别于传统rsyslog文本日志,journald日志以二进制格式存储,占用空间更小、查询速度更快,需通过专用命令journalctl查看。journald核心特点:二进制存储,无法直接用cat、vim打开查看,必须用journalctl命令默认存储于/var/log/journal/目录,重启服务器后日志可持久化留存支持按时间、服务、级别、主机名多维度过滤,查询效率远超文本日志与rsyslog兼容,可将日志转发至rsyslog,实现文本化存储首先检查journald服务状态,确保服务正常运行:# 查看journald服务状态systemctl status systemd-journald.service# 启动服务(若未运行)systemctl start systemd-journald.service# 设置开机自启systemctlenablesystemd-journald.service7.2.2 基础查询:journalctl常用基础命令本节从最基础的日志查询命令入手,逐步进阶,全程搭配实操示例,可直接在Ubuntu Server终端执行。1. 查看全部日志(默认按时间正序)# 查看所有journald日志,内容较多,自动分页显示journalctl执行后日志会自动分页,按Enter滚动单行,按Space滚动整页,按q退出查看界面。2. 实时滚动查看最新日志(类似tail -f)# 实时