Linux 操作系统和许多应用程序会创建特殊的文件来记录它们的运行事件，这些文件通常被称作“日志”。当要了解操作系统或第三方应用程序的行为或进行故障排查时，这些系统日志或特定的应用程序日志文件是必不可少的的工具。但是，日志文件并没有您们所谓的“清晰”或“容易”这种程度的可读性。手工分析原始的日志文件简直是浪费时间，并且单调乏味。出于这个原因，对于系统管理员来说，发现任何一款能把原始的日志文件转换成更人性化的记录摘要的工具，将会受益无穷。

logwatch 是一款用 Perl 语言编写的开源日志解析分析器。它能对原始的日志文件进行解析并转换成结构化格式的文档，也能根据您的使用情况和需求来定制报告。logwatch 的主要目的是生成更易于使用的日志摘要，并不是用来对日志进行实时的处理和监控的。正因为如此，logwatch 通常被设定好时间和频率的自动定时任务来调度运行或者是有需要日志处理的时候从命令行里手动运行。一旦日志报告生成，logwatch 可以通过电子邮件把这报告发送给您，您可以把它保存成文件或者直接显示在屏幕上。

Logwatch 报告的详细程度和报告覆盖范围是完全可定制化的。Logwatch 的日志处理引擎也是可扩展的，从某种意义上来说，如果您想在一个新的应用程序中使用 logwatch 功能的话，只需要为这个应用程序的日志文件编写一个日志处理脚本（使用 Perl 语言），然后挂接到 logwatch 上就行。

logwatch 有一点不好的就是，在它生成的报告中没有详细的时间戳信息，而原来的日志文件中是存在的。您只能知道被记录下来的一段时间之内的特定事件，如果想要知道精确的时间点的信息，就不得不去查看原日志文件了。

安装 Logwatch

在 Debian 系统或其派生的系统上:

# aptitude install logwatch 

在基于 Red Hat 的发布系统上:

# yum install logwatch 

配置 Logwatch

安装时，主要的配置文件（logwatch.conf）被放到 /etc/logwatch/conf 目录中。此文件（默认是空的）定义的设置选项会覆盖掉定义在 /usr/share/logwatch/default.conf/logwatch.conf 文件中的系统级设置。

在命令行中，启动 logwatch, 如果不带参数的话，将会使用 /etc/logwatch/conf/logwatch.conf 文件中定义的选项。但，只要一指定参数，它们就会覆盖 /etc/logwatch/conf/logwatch.conf 文件中的任意默认/自定义设置。

这篇文章里，我们会编辑 /etc/logwatch/conf/logwatch.conf 文件来对一些默认的设置项做些个性化设置。

Detail = <Low, Med, High, 或数字>

“Detail” 配置指令控制着 logwatch 报告的详细程度。它可以是个正整数，也可以是分别代表着10、5和0数字的 High、Med、Low 几个选项。

MailTo = [email protected]

如果您让把一份 logwatch 的报告邮件给您，就要使用 “MailTo” 这个配置指令。要把一份报告发送给多个用户，只需要把他们的邮件地址用空格格开，然后配置上去。但是，您需要在 logwatch 运行的服务器上配置好本地邮件传输代理（MTA）如，sendmail、 Postfix 等，这个配置指令项才能起作用。

Range = <Yesterday|Today|All>

"Range" 配置指令定义了生成 logwatch 报告的时间段信息。这个指令通常可选的值是 Yesterday、Today、All。当作用了“Rang = All”时，“Archive = yes” 这个指令项也必须配置上，那么所有的已存档的日志文件 (比如，/var/log/maillog、/var/log/maillog.X 或 /var/log/maillog.X.gz 文件)都会被处理到。

除了这些通用的 range 值，您也可以使用复杂点的选择值，如下所示：

• Range = "2 hours ago for that hour"
• Range = "-5 days"
• Range = "between -7 days and -3 days"
• Range = "since September 15, 2014"
• Range = "first Friday in October"
• Range = "2014/10/15 12:50:15 for that second"

要使用上面例子中自由形式的 range，您需要从 CPAN（注：Comprehensive　Perl　Archive　Network） 上下载安装 Perl 的 Date::Manip 模块。关于 CPAN 模块的安装说明，请请参阅此帖 。

Service = <service-name-1>
Service = <service-name-2>
. . .

“Service” 选项指定想要监控的一个或多个服务。在 /usr/share/logwatch/scripts/services 目录下列出的服务都能被监控，它们已经涵盖了重要的系统服务（例如：pam,secure,iptables,syslogd 等），也涵盖了一些像 sudo、sshd、http、fail2ban、samba等主流的应用服务。如果您想添加新的服务到列表中，得编写一个相应的日志处理 Perl 脚本，并把它放在这个目录中。

如果这个选项要用来选择特定的服务话，您需要把 /usr/share/logwatch/default.conf/logwatch.conf 文件中的 "Service = All " 这一行注释掉。

Format = <text|html>

“Format” 配置指令定义了一份 logwatch 报告的格式（比如 text 或者 HTML）。

Output = <file|mail|stdout>

"Output" 配置指令定义生成的 logwatch 报告要发送的目的地。它能被保存成文件（file），生成电子邮件（mail）或者是直接在屏幕上显示（stdout）。

用 Logwatch 来分析日志文件

要弄明白怎么使用 logwatch 来分析日志文件，可以参考下面的 logwatch.conf 文件例子:

Detail = High
MailTo = [email protected]
Range = Today
Service = http
Service = postfix
Service = zz-disk_space
Format = html
Output = mail

使用这些设置，logwatch 将会处理三个应用服务（http、postfix 和 zz-disk\_space）当天产生的日志，生成一份非常详细的 HTML 格式报告，然后邮件给您。

如果您不想个性化 /etc/logwatch/conf/logwatch.conf，您可以不修改此文件让其默认，然后在命令行里运行如下所示的命令。也会得到同样的输出。

# logwatch --detail 10 --mailto [email protected] --range today --service http --service postfix --service zz-disk_space --format html --output mail 

电子邮件发送的报告样子如图示:

这份电子邮件头部包含指向导航到报告细节的链接，在每个选中的服务细节，也会有“返回顶部”的链接。

接收人很少的情况下您可能会使用电子邮件发送报告这个选项。其它情况下，您可能会把让其生成为 HTML 格式的报告，这样每个想看这份报告的人都可以从网络共享里看到。只需要把上面例子中的配置做些修改就可以实现:

Detail = High
Range = Today
Service = http
Service = postfix
Service = zz-disk_space
Format = html
Output = file
Filename = /var/www/html/logs/dev1.html

同样的，也可以在命令行中运行如下的命令。

# logwatch --detail 10 --range today --service http --service postfix --service zz-disk_space --format html --output file --filename /var/www/html/logs/dev1.html 

最后，让我们使用 cron 来配置 logwatch 的定时执行任务。下面的例子中，将会在每个工作日的下午 12：15 分运行 logwatch 调度任务。

# crontab -e 

15 12 * * 1,2,3,4,5 /sbin/logwatch

希望这会有所帮助。欢迎到社区发表评论或分享自己的心得和体会！

via: http://xmodulo.com/monitor-log-file-linux-logwatch.html

作者：Gabriel Cánepa 译者：runningwater 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

Linux 有一个显著的特点，在正常情况下，你可以通过日志分析系统日志来了解你的系统中发生了什么，或正在发生什么。的确，系统日志是系统管理员在解决系统和应用问题时最需要的第一手资源。我们将在这篇文章中着重讲解 Apache HTTP web server 生成的 Apache access 日志。

这次，我们会通过另类的途径来分析 Apache access 日志，我们使用的工具是 asql。asql 是一个开源的工具，它能够允许使用者使用 SQL 语句来查询日志，从而通过更加友好的格式展现相同的信息。

Apache 日志背景知识

Apache 有两种日志：

• Access log：存放在路径 /var/log/apache2/access.log (Debian) 或者 /var/log/httpd/access\_log (Red Hat)。Access Log 记录所有 Apache web server 执行的请求。
• Error log：存放在路径 /var/log/apache2/error.log (Debian) 或者 /var/log/httpd/error\_log (Red Hat)。Error log 记录所有 Apache web server 报告的错误以及错误的情况。Error 情况包括（不限于）403（Forbidden，通常在请求被拒绝访问时被报告），404（Not found，在请求资源不存在时被报告）。

虽然管理员可以通过配置 Apache 的配置文件来自定义 Apache access log 的详细程度，不过在这篇文章中，我们会使用默认的配置，如下：

远程 IP - 请求时间 - 请求类型 - 响应代码 - 请求的 URL - 远程的浏览器信息 (也许包含操作系统信息)

因此一个典型的 Apache 日志条目就是下面这个样子：

192.168.0.101 - - [22/Aug/2014:12:03:36 -0300] "GET /icons/unknown.gif HTTP/1.1" 200 519 "http://192.168.0.10/test/projects/read_json/" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:30.0) Gecko/20100101 Firefox/30.0"

但是 Apache error log 又是怎么样的呢？因为 error log 条目主要记录 access log 中特殊的请求（你可以自定义），所以你可以通过 access log 来获得关于错误情况的更多信息（example 5 有更多细节）。

此外要提前说明的， access log 是系统级别的日志文件。要分析虚拟主机的日志文件，你需要检查它们相应的配置文件（例如： 在 /etc/apache2/sites-available/[virtual host name] 里（Debian））。

在 Linux 上安装 asql

asql 由 Perl 编写，而且需求以下两个 Perl 模块：SQLite 的 DBI 驱动以及 GNU readline。

在 Debian, Ubuntu 以及其衍生发行版上安装 asql

使用基于 Debian 发行版上的 aptitude，asql 以及其依赖会被自动安装。

# aptitude install asql

在 Fedora，CentOS，RHEL 上安装 asql

在 CentOS 或 RHEL 上，你需要启用 EPEL repository，然后运行以下代码。在 Fedora 中，直接运行以下代码：

# sudo yum install perl-DBD-SQLite perl-Term-Readline-Gnu
# wget http://www.steve.org.uk/Software/asql/asql-1.7.tar.gz
# tar xvfvz asql-1.7.tar.gz
# cd asql
# make install

asql 是如何工作的？

从上面代码中的依赖中你就可以看出来，asql 转换未结构化的明文 Apache 日志为结构化的 SQLite 数据库信息。生成的 SQLite 数据库可以接受正常的 SQL 查询语句。数据库可以通过当前以及之前的日志文件生成，其中也包括压缩转换过的日志文件，类似 access.log.X.gz 或者 access\_log.old。

首先，从命令行启动 asql：

# asql

你会进入 asql 内置的 shell 交互界面。

输入 help 列表可执行的命令：

首先在 asql 中加载所有的 access 日志：

asql > load <apache-access-logs 的路径>

比如在 Debian 下：

asql > load /var/log/apache2/access.*

在 CentOS/RHEL 下：

asql > load /var/log/httpd/access_log*

当 asql 完成对 access 日志的加载后，我们就可以开始数据库查询了。注意一下，加载后生成的数据库是 "temporary" （临时）的，意思就是数据库会在你退出 asql 的时候被清除。如果你想要保留数据库，你必须先将其保存为一个文件。我们会在后面介绍如何这么做（参考 example 3 和 4）。

生成的数据库有一个名为 logs 的表。输入下面的命令列出 logs 表中提供的域：

一个名为 .asql 的隐藏文件，保存于用户的 home 目录下，记录用户在 asql shell 中输入的命令历史。因此你可以使用方向键浏览命令历史，按下 ENTER 来重复执行之前的命令。

asql 上的示例 SQL 查询

下面是几个使用 asql 针对 Apache 日志文件运行 SQL 查询的示例：

Example 1：列出在 2014 年 10 月中请求的来源 / 时间以及 HTTP 状态码。

SELECT source, date, status FROM logs WHERE date >= '2014-10-01T00:00:00' ORDER BY source;

Example 2：从小到大显示单个客户端处理的请求大小（bytes）。

SELECT source, SUM(size), AS NUMBER FROM logs GROUP BY source ORDER BY Number DESC;

Example 3：在当前目录中保存数据库为 [filename]。

save [filename]

这样做可以避免使用 load 命令对日志的语法分析所占用的处理时间。

Example 4：在重新进入 asql 后载入数据库。

restore [filename]

Example 5：返回 access 日志中记录的 error 情况。在这个例子中，我们将显示所有返回 HTTP 状态码为 403（access forbidden）的请求。

SELECT source, date, status, request FROM logs WHERE status='403' ORDER BY date

这个例子想要表现的是：虽然 asql 只分析 access 日志，我们还是可以通过使用请求的状态域来显示有 error 情况的请求。

小结：

我们体验了 asql 如何帮助我们分析 Apache 日志文件，并将结果通过友好的格式输出。虽然你也可以通过使用命令行的工具（例如 cat 与 grep，uniq，sort，wc 等等之间的管道）来实现类似功能，与此比较起来 asql 展示了它如同瑞士军刀一般的强大功能，使我们在自己的需求下能够通过标准 SQL 查询语句来过滤日志。

希望这篇教程能帮助到你们。

请不要拘束地将评论文章，分享文章，提出疑问。

via: http://xmodulo.com/sql-queries-apache-log-files-linux.html

作者：Gabriel Cánepa 译者：ThomazL 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

保留、维护和分析日志（如某个特定时期内发生过的，或正在发生的帐号事件），是Linux系统管理员最基础和最重要的任务之一。对于用户管理，检查用户的登入和登出日志（不管是失败的，还是成功的）可以让我们对任何潜在的安全隐患或未经授权使用系统的情况保持警惕。例如，工作时间之外或放假期间的来自未知IP地址或帐号的远程登录应当发出红色警报。

在CentOS系统上，用户登录历史存储在以下这些文件中：

• /var/run/utmp（用于记录当前打开的会话）被who和w工具用来记录当前有谁登录以及他们正在做什么，而uptime用来记录系统启动时间。
• /var/log/wtmp （用于存储系统连接历史记录）被last工具用来记录最后登录的用户的列表。
• /var/log/btmp（记录失败的登录尝试）被lastb工具用来记录最后失败的登录尝试的列表。

在本文中，我将介绍如何使用utmpdump，这个小程序来自sysvinit-tools包，可以用于转储二进制日志文件到文本格式的文件以便检查。此工具默认在CentOS 6和7系列上可用。utmpdump收集到的信息比先前提到过的工具的输出要更全面，这让它成为一个胜任该工作的很不错的工具。除此之外，utmpdump可以用于修改utmp或wtmp。如果你想要修复二进制日志中的任何损坏条目，它会很有用（LCTT 译注：我怎么觉得这像是做坏事的前奏？）。

Utmpdump的使用及其输出说明

正如我们之前提到的，这些日志文件，与我们大多数人熟悉的其它日志相比（如/var/log/messages，/var/log/cron，/var/log/maillog），是以二进制格式存储的，因而我们不能使用像less或more这样的文件命令来查看它们的内容。所以，utmpdump的出现拯救了世界。

为了要显示/var/run/utmp的内容，请运行以下命令：

# utmpdump /var/run/utmp 

同样要显示/var/log/wtmp的内容：

# utmpdump /var/log/wtmp | tail -15

最后，对于/var/log/btmp：

# utmpdump /var/log/btmp 

正如你所能看到的，三种情况下的输出结果是一样的，除了utmp和btmp的记录是按时间排序，而wtmp的顺序是颠倒的这个原因外（LCTT 译注：此处原文有误，实际上都是按照时间顺序排列的）。

每个日志行格式化成了多列，说明如下。第一个字段显示了会话识别符，而第二个字段则是PID。第三个字段可以是以下值：--（表示运行等级改变或系统重启），bw（启动守候进程），数字（表示TTY编号），或者字符和数字（表示伪终端）。第四个字段可以为空或用户名、重启或运行级别。第五个字段是主TTY或PTY（伪终端），如果此信息可获得的话。第六个字段是远程主机名（如果是本地登录，该字段为空，运行级别信息除外，它会返回内核版本）。第七个字段是远程系统的IP地址（如果是本地登录，该字段为0.0.0.0）。如果没有提供DNS解析，第六和第七字段会显示相同的信息（远程系统的IP地址）。最后一个（第八）字段指明了该记录创建的日期和时间。

Utmpdump使用样例

下面提供了一些utmpdump的简单使用情况。

1、 检查8月18日到9月17日之间某个特定用户（如gacanepa）的登录次数。

# utmpdump /var/log/wtmp | grep gacanepa 

如果你需要回顾先前日期的登录信息，你可以检查/var/log下的wtmp-YYYYMMDD（或wtmp.[1...N]）和btmp-YYYYMMDD（或btmp.[1...N]）文件，这些是由logrotate生成的旧wtmp和btmp的归档文件。

2、 统计来自IP地址192.168.0.101的登录次数。

# utmpdump /var/log/wtmp | grep 192.168.0.101 

3、 显示失败的登录尝试。

# utmpdump /var/log/btmp 

在/var/log/btmp输出中，每个日志行都与一个失败的登录尝试相关（如使用不正确的密码，或者一个不存在的用户ID）。上面图片中高亮部分显示了使用不存在的用户ID登录，这警告你有人尝试猜测常用帐号名来闯入系统。这在使用tty1的情况下是个极其严重的问题，因为这意味着某人对你机器上的终端具有访问权限（该检查一下谁拿到了进入你数据中心的钥匙了，也许吧？）

4、 显示每个用户会话的登入和登出信息

# utmpdump /var/log/wtmp 

在/var/logwtmp中，一次新的登录事件的特征是，第一个字段为‘7’，第三个字段是一个终端编号（或伪终端id），第四个字段为用户名。相关的登出事件会在第一个字段显示‘8’，第二个字段显示与登录一样的PID，而终端编号字段空白。例如，仔细观察上面图片中PID 1463的行。

• 在 [Fri Sep 19 11:57:40 2014 ART]，TTY1上显示登录提示符。
• 在 [Fri Sep 19 12:04:21 2014 ART]，用户 root 登入。
• 在 [Fri Sep 19 12:07:24 2014 ART]，用户 root 登出。

旁注：第四个字段的LOGIN意味着出现了一次登录到第五字段指定的终端的提示。

到目前为止，我介绍一些有点琐碎的例子。你可以将utmpdump和其它一些文本处理工具，如awk、sed、grep或cut组合，来产生过滤和加强的输出。

例如，你可以使用以下命令来列出某个特定用户（如gacanepa）的所有登录事件，并发送输出结果到.csv文件，它可以用像LibreOffice Calc或Microsoft Excel之类的文字或工作簿应用程序打开查看。让我们只显示PID、用户名、IP地址和时间戳：

 # utmpdump /var/log/wtmp | grep -E "\[7].*gacanepa" | awk -v OFS="," 'BEGIN {FS="] "}; {print $2,$4,$7,$8}' | sed -e 's/\[//g' -e 's/\]//g' 

就像上面图片中三个高亮区域描绘的那样，过滤逻辑操作是由三个管道步骤组成的。第一步用于查找由用户gacanepa触发的登录事件（[7]）；第二步和第三部用于选择期望的字段，移除utmpdump输出的方括号并设置输出字段分隔符为逗号。

当然，如果你想要在以后打开来看，你需要重定向上面的命令输出到文件（添加“>[文件名].csv”到命令后面）。

在更为复杂的例子中，如果你想要知道在特定时间内哪些用户（在/etc/passwd中列出）没有登录，你可以从/etc/passwd中提取用户名，然后运行grep命令来获取/var/log/wtmp输出中对应用户的列表。就像你看到的那样，有着无限可能。

在进行总结之前，让我们简要地展示一下utmpdump的另外一种使用情况：修改utmp或wtmp。由于这些都是二进制日志文件，你不能像编辑文件一样来编辑它们。取而代之是，你可以将其内容输出成为文本格式，并修改文本输出内容，然后将修改后的内容导入回二进制日志中。如下：

# utmpdump /var/log/utmp > tmp_output
<使用文本编辑器修改 tmp_output>
# utmpdump -r tmp_output > /var/log/utmp 

这在你想要移除或修复二进制日志中的任何伪造条目时很有用。

下面小结一下，utmpdump从utmp、wtmp和btmp日志文件或轮循的旧归档文件来读取详细的登录事件，来补充如who，w，uptime，last，lastb之类的标准工具的不足，这也使得它成为一个很棒的工具。

你可以随意添加评论以加强本帖的含金量。

via: http://xmodulo.com/2014/09/monitor-user-login-history-centos-utmpdump.html

作者：Gabriel Cánepa 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

日志文件包含了关于系统中发生的事件的有用信息，在排障过程中或者系统性能分析时经常被用到。对于忙碌的服务器，日志文件大小会增长极快，服务器会很快消耗磁盘空间，这成了个问题。除此之外，处理一个单个的庞大日志文件也常常是件十分棘手的事。

logrotate是个十分有用的工具，它可以自动对日志进行截断（或轮循）、压缩以及删除旧的日志文件。例如，你可以设置logrotate，让/var/log/foo日志文件每30天轮循，并删除超过6个月的日志。配置完后，logrotate的运作完全自动化，不必进行任何进一步的人为干预。另外，旧日志也可以通过电子邮件发送，不过该选项超出了本教程的讨论范围。

主流Linux发行版上都默认安装有logrotate包，如果出于某种原因，logrotate没有出现在里头，你可以使用apt-get或yum命令来安装。

在Debian或Ubuntu上：

# apt-get install logrotate cron 

在Fedora，CentOS或RHEL上：

# yum install logrotate crontabs 

logrotate的配置文件是/etc/logrotate.conf，通常不需要对它进行修改。日志文件的轮循设置在独立的配置文件中，它（们）放在/etc/logrotate.d/目录下。

样例一

在第一个样例中，我们将创建一个10MB的日志文件/var/log/log-file。我们将展示怎样使用logrotate来管理该日志文件。

我们从创建一个日志文件开始吧，然后在其中填入一个10MB的随机比特流数据。

# touch /var/log/log-file
# head -c 10M < /dev/urandom > /var/log/log-file 

由于现在日志文件已经准备好，我们将配置logrotate来轮循该日志文件。让我们为该文件创建一个配置文件。

# vim /etc/logrotate.d/log-file 

/var/log/log-file {
    monthly
    rotate 5
    compress
    delaycompress
    missingok
    notifempty
    create 644 root root
    postrotate
        /usr/bin/killall -HUP rsyslogd
    endscript
}

这里：

• monthly: 日志文件将按月轮循。其它可用值为‘daily’，‘weekly’或者‘yearly’。
• rotate 5: 一次将存储5个归档日志。对于第六个归档，时间最久的归档将被删除。
• compress: 在轮循任务完成后，已轮循的归档将使用gzip进行压缩。
• delaycompress: 总是与compress选项一起用，delaycompress选项指示logrotate不要将最近的归档压缩，压缩将在下一次轮循周期进行。这在你或任何软件仍然需要读取最新归档时很有用。
• missingok: 在日志轮循期间，任何错误将被忽略，例如“文件无法找到”之类的错误。
• notifempty: 如果日志文件为空，轮循不会进行。
• create 644 root root: 以指定的权限创建全新的日志文件，同时logrotate也会重命名原始日志文件。
• postrotate/endscript: 在所有其它指令完成后，postrotate和endscript里面指定的命令将被执行。在这种情况下，rsyslogd 进程将立即再次读取其配置并继续运行。

上面的模板是通用的，而配置参数则根据你的需求进行调整，不是所有的参数都是必要的。

样例二

在本例中，我们只想要轮循一个日志文件，然而日志文件大小可以增长到50MB。

# vim /etc/logrotate.d/log-file 

/var/log/log-file {
    size=50M
    rotate 5
    create 644 root root
    postrotate
        /usr/bin/killall -HUP rsyslogd
    endscript
}

样例三

我们想要让旧日志文件以创建日期命名，这可以通过添加dateext常熟实现。

# vim /etc/logrotate.d/log-file 

/var/log/log-file {
    monthly
    rotate 5
    dateext
    create 644 root root
    postrotate
        /usr/bin/killall -HUP rsyslogd
    endscript
}

这将让归档文件在它们的文件名中包含日期信息。

排障

这里提供了一些logrotate设置的排障提示。

1. 手动运行logrotate

logrotate可以在任何时候从命令行手动调用。

要调用为/etc/lograte.d/下配置的所有日志调用logrotate：

# logrotate /etc/logrotate.conf 

要为某个特定的配置调用logrotate：

# logrotate /etc/logrotate.d/log-file 

2. 演练

排障过程中的最佳选择是使用‘-d’选项以预演方式运行logrotate。要进行验证，不用实际轮循任何日志文件，可以模拟演练日志轮循并显示其输出。

# logrotate -d /etc/logrotate.d/log-file 

正如我们从上面的输出结果可以看到的，logrotate判断该轮循是不必要的。如果文件的时间小于一天，这就会发生了。

3. 强制轮循

即使轮循条件没有满足，我们也可以通过使用‘-f’选项来强制logrotate轮循日志文件，‘-v’参数提供了详细的输出。

# logrotate -vf /etc/logrotate.d/log-file 

reading config file /etc/logrotate.d/log-file
reading config info for /var/log/log-file

Handling 1 logs

rotating pattern: /var/log/log-file  forced from command line (5 rotations)
empty log files are rotated, old logs are removed
considering log /var/log/log-file
  log needs rotating
rotating log /var/log/log-file, log->rotateCount is 5
dateext suffix '-20140916'
glob pattern '-[0-9][0-9][0-9][0-9][0-9][0-9][0-9][0-9]'
renaming /var/log/log-file.5.gz to /var/log/log-file.6.gz (rotatecount 5, logstart 1, i 5),
old log /var/log/log-file.5.gz does not exist
renaming /var/log/log-file.4.gz to /var/log/log-file.5.gz (rotatecount 5, logstart 1, i 4),
old log /var/log/log-file.4.gz does not exist
. . .
renaming /var/log/log-file.0.gz to /var/log/log-file.1.gz (rotatecount 5, logstart 1, i 0),
old log /var/log/log-file.0.gz does not exist
log /var/log/log-file.6.gz doesn't exist -- won't try to dispose of it
renaming /var/log/log-file to /var/log/log-file.1
creating new /var/log/log-file mode = 0644 uid = 0 gid = 0
running postrotate script
compressing log with: /bin/gzip

4. Logrotate的记录日志

logrotate自身的日志通常存放于/var/lib/logrotate/status目录。如果处于排障目的，我们想要logrotate记录到任何指定的文件，我们可以指定像下面这样从命令行指定。

# logrotate -vf –s /var/log/logrotate-status /etc/logrotate.d/log-file

5. Logrotate定时任务

logrotate需要的cron任务应该在安装时就自动创建了，我把cron文件的内容贴出来，以供大家参考。

# cat /etc/cron.daily/logrotate 

#!/bin/sh

# Clean non existent log file entries from status file
cd /var/lib/logrotate
test -e status || touch status
head -1 status > status.clean
sed 's/"//g' status | while read logfile date
do
    [ -e "$logfile" ] && echo "\"$logfile\" $date"
done >> status.clean
mv status.clean status

test -x /usr/sbin/logrotate || exit 0
/usr/sbin/logrotate /etc/logrotate.conf

小结一下，logrotate工具对于防止因庞大的日志文件而耗尽存储空间是十分有用的。配置完毕后，进程是全自动的，可以长时间在不需要人为干预下运行。本教程重点关注几个使用logrotate的几个基本样例，你也可以定制它以满足你的需求。

希望本文对你有所帮助。

via: http://xmodulo.com/2014/09/logrotate-manage-log-files-linux.html

作者：Sarmed Rahman 译者：GOLinux 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出

linux系统里有一些日志文件。观察这些日志文件是系统管理员的一个重要任务。你可以很方便地使用tail命令观察它们。但是如果你想要长时间监视这些文件，每几分钟使用tail检查那些日志文件是一件很乏味的事情。你可以写一个短小的无限循环的脚本来周期性地检查文件，但其实已经有一个程序可以为你处理这种重复的任务。

Linux watch 命令

Linux中的watch 命令提供了一种方式处理重复的任务。默认watch会每2秒重复执行命令。你一定也想到了,watch是一个很好的观察log文件的工具。下面是一个例子。

watch tail /var/log/syslog

想要停止命令的执行,只要使用标准的kill流程, [Ctrl]+C。

使用Linux watch命令监测syslog

你可以使用-n开关改变并指定时间间隔。要想每10秒检测日志文件,试试这个。

watch -n 10 tail /var/log/syslog

带有管道的watch命令

watch并不仅限于浏览日志文件。它可以用来重复你给它的任何命令。如果你要监测CPU的温度,你可以使用watch后跟上sensord命令来查看。

watch -n 1 sensors

我电脑上的输出看上去就像这样:

acpitz-virtual-0
Adapter: Virtual device
temp1:        +45.0°C  (crit = +100.0°C)

我想过滤一下这个输出来只显示温度而不显示其他的。

我可以使用这个命令来查看

sensors | grep temp | awk '{ print $2 }'

记住,watch命令会重复它后面的第一个命令。必须要注意命令后面跟上管道的情况。你可以将你的命令放在引号里面来管理。

watch -n1 "sensors | grep temp | awk '{ print $2 }'"

带管道的watch命令

将watch作为时钟

就像你现在已经注意到的,watch执行后会在你的终端的右上角显示时间。我们可以通过传给watch一个空的命令参数来把它作为一个简单的时钟。 我们可以将一个空格包含在引号中来作为一个空的参数。

watch -n 1 " "

如你所见,这给予这个命令另外一个意义,手表(watch)。你可以把它作为你的腕表。

现在你知道如何使用Linux的watch命令。你要用它处理什么重复任务?

via: http://tuxtweaks.com/2013/12/linux-watch-command/

译者：geekpi 校对：Mr小眼儿

本文由 LCTT 原创翻译，Linux中国 荣誉推出