通過(guò)配置RSYSLOG，SYSLOG-NG或現(xiàn)代平臺(tái)（例如Elk Stack或Graylog）來(lái)匯總來(lái)自多個(gè)服務(wù)器的日誌，從而提高可見(jiàn)性和可喚起性，從而使用集中式記錄系統(tǒng)。 2。使用logrotate用/etc/logrotate.conf或/etc/logrotate.d/定期旋轉(zhuǎn)日誌，以防止磁盤耗盡，壓縮舊日誌並保留在定義的期間中，在應(yīng)用之前用logrotate -D測(cè)試配置。 3.通過(guò)命令（例如disk -usage和du -sh/var/log/*），使用監(jiān)視工具在/var/log超過(guò)閾值時(shí)，使用監(jiān)視工具設(shè)置警報(bào)，並通過(guò)設(shè)置SystemMaxuse，SystemMaxuse，SystemMaxFilesize和MaxRetentionSec在JournalD.Conf中限制SystemD JournalD的增長(zhǎng)。 4。通過(guò)設(shè)置適當(dāng)?shù)臋?quán)限（例如，CHMOD 644或600），避免使用公共目錄，使用ACLS或按照合規(guī)標(biāo)準(zhǔn)要求在休息處進(jìn)行加密來(lái)保護(hù)日誌文件，並將日誌發(fā)送到遠(yuǎn)程寫入的服務(wù)器，以防止篡改。 5。通過(guò)採(cǎi)用機(jī)器可讀格式（例如JSON），使用結(jié)構(gòu)化日誌記錄庫(kù)，通過(guò)服務(wù)或主機(jī)對(duì)日誌進(jìn)行標(biāo)記，以及使用有條件的規(guī)則過(guò)濾噪聲，以提高解析和可搜索性。 6.通過(guò)利用諸如fail2ban，logwatch或諸如Wazuh之類的SIEM解決方案（例如Wazuh），用GREP和AWK編寫自定義腳本的工具來(lái)設(shè)置關(guān)鍵事件的警報(bào)，以檢測(cè)諸如重複的失敗登錄等異常情況，並通過(guò)CRON自動(dòng)進(jìn)行檢查以發(fā)送實(shí)時(shí)通知，以確保積極的系統(tǒng)監(jiān)視和事件響應(yīng)。

在Linux系統(tǒng)上有效管理日誌對(duì)於故障排除，安全監(jiān)視和維護(hù)系統(tǒng)性能至關(guān)重要。差的日誌管理會(huì)導(dǎo)致磁盤耗盡，難以診斷問(wèn)題或缺少關(guān)鍵警報(bào)。這是保持登錄控制的關(guān)鍵最佳實(shí)踐。

1。使用集中伐木系統(tǒng)

僅依靠本地日誌限制可見(jiàn)性，尤其是在多服務(wù)器環(huán)境中。集中日誌記錄使您可以將日誌從多個(gè)系統(tǒng)匯總到單個(gè)位置，以更輕鬆地分析。

• RSYSLOG或SYSLOG-NG等工具可以將日誌轉(zhuǎn)發(fā)到中央服務(wù)器。
• 現(xiàn)代解決方案包括Elk Stack（Elasticsearch，Logstash，Kibana）或Graylog ，用於高級(jí)搜索和可視化。
• 對(duì)於輕巧的設(shè)置，請(qǐng)考慮Fluentd或Prometheus loki 。

示例：通過(guò)編輯/etc/rsyslog.conf ：將rsyslog配置為通過(guò)TCP/UDP通過(guò)TCP/UDP發(fā)送日誌：

 *。 * @Central-Loging-Server：514

這可以提高可審核性並簡(jiǎn)化跨基礎(chǔ)架構(gòu)的監(jiān)視。

2。定期旋轉(zhuǎn)logrotate

未控制的對(duì)數(shù)增長(zhǎng)可以迅速填充磁盤。 logrotate實(shí)用程序可自動(dòng)歸檔，壓縮和刪除舊日誌的過(guò)程。

• 默認(rèn)配置在/etc/logrotate.conf中，包含/etc/logrotate.d/中的APP特定規(guī)則。
• 設(shè)置旋轉(zhuǎn)頻率（每日，每週），保留期和壓縮。

自定義應(yīng)用程序的示例配置：

 /var/log/myapp/* .log {
    日常的
    失蹤
    旋轉(zhuǎn)7
    壓縮
    延遲compress
    通知
    創(chuàng)建644根根
}

這每天旋轉(zhuǎn)日誌，保留7天的歷史記錄，並壓縮舊文件以節(jié)省空間。

？提示：使用logrotate -d /etc/logrotate.conf在應(yīng)用之前測(cè)試您的logrotate配置。

3。監(jiān)視器的數(shù)量大小和磁盤使用情況

即使旋轉(zhuǎn)，記錄中的錯(cuò)誤配置或突然的峰值也可能會(huì)消耗磁盤空間。

• 使用du ， df和journalctl等工具檢查日誌大?。?pre class='brush:php;toolbar:false;'> JournalCtl - disk-usage＃for systemd期刊 du -sh/var/log/*＃檢查單個(gè)日誌目錄
• 當(dāng)/var/log超過(guò)閾值時(shí)，使用監(jiān)視工具（例如Nagios ， Zabbix或Prometheus ）設(shè)置警報(bào)。

對(duì)於基於系統(tǒng)的系統(tǒng)，請(qǐng)限制日記帳尺寸/etc/systemd/journald.conf ：

 SystemMaxuse = 500m
SystemMaxFilesize = 50m
maxretentionsec = 1個(gè)月

這可以防止日記無(wú)限期地增長(zhǎng)。

4。安全並保護(hù)日誌文件

日誌通常包含敏感數(shù)據(jù)（例如，IP地址，用戶名，錯(cuò)誤詳細(xì)信息）。未經(jīng)授權(quán)的訪問(wèn)可以暴露系統(tǒng)漏洞。

• 設(shè)置適當(dāng)?shù)脑S可：

   chmod 644/var/log/*。
  chmod 600/var/log/sensitive.log＃限制訪問(wèn)

• 如果需要，請(qǐng)使用ACL或基於組的訪問(wèn)。
• 如果合規(guī)性（例如，GDPR，HIPAA），請(qǐng)考慮在休息時(shí)加密日誌。
• 通過(guò)將日誌發(fā)送到遠(yuǎn)程，僅寫入日誌服務(wù)器來(lái)防止日誌篡改。

??切勿將日誌存儲(chǔ)在公共訪問(wèn)目錄中（例如，Web根）。

5。過(guò)濾和結(jié)構(gòu)日誌輸出

應(yīng)用程序應(yīng)在可能的情況下登錄一致的機(jī)器可讀格式（如JSON）。這使解析和警報(bào)更加容易。

• 在應(yīng)用程序中使用結(jié)構(gòu)化日誌記錄（例如，通過(guò)logrus或winston等庫(kù)）。
• 在rsyslog/syslog-ng中過(guò)濾不必要的噪聲，以避免混亂。
• 通過(guò)服務(wù)，環(huán)境或主機(jī)進(jìn)行標(biāo)記日誌以進(jìn)行更好的過(guò)濾。

示例rsyslog濾波器到路由特定日誌：

如果$ programName =='nginx'，那麼/var/log/nginx/filtered.log
＆ 停止

這會(huì)降低噪聲並提高可搜索性。

6.設(shè)置關(guān)鍵事件的警報(bào)

不要等待未能注意日誌條目。主動(dòng)監(jiān)視諸如重複身份驗(yàn)證故障，服務(wù)崩潰或磁盤錯(cuò)誤之類的模式。

• 使用諸如Fail2ban （用於SSH蠻力檢測(cè)）或logwatch （每日摘要）之類的工具。
• 與SIEM工具（例如Wazuh ， OSSEC ）集成以進(jìn)行實(shí)時(shí)警報(bào)。
• 用grep ， awk或jq編寫自定義腳本以檢測(cè)異常。

示例：重複失敗登錄的警報(bào)：

 grep“失敗密碼” /var/log/auth.log | grep“ $（日期-d'1小時(shí)''％b％d％h'）

通過(guò)CRON和電子郵件警報(bào)自動(dòng)進(jìn)行此類檢查。

基本上，良好的日誌管理平衡了保留，性能和安全性。一起使用旋轉(zhuǎn)，集中式，監(jiān)視和訪問(wèn)控制 - 這並不復(fù)雜，但是很容易忽略一件。

以上是在Linux系統(tǒng)上管理日誌的最佳實(shí)踐的詳細(xì)內(nèi)容。更多資訊請(qǐng)關(guān)注PHP中文網(wǎng)其他相關(guān)文章！