日志文件:
日志文件记录何时、何地(主机名或IP)、何人(用户)、何事(操作命令)?

rpm软件包的日志文件的存放目录:/var/log

常见的日志文件名:目录/var/log
messages 系统消息日志文件
bootlog  系统引导和启动的日志
cron     周期性计划任务的日志
secure   安全日志,跟用户账号、登录相关的信息
maillog  邮件日志
btmp     错误(bad)登录的日志,用lastb命令查
wtmp     所有用户的登录、注销信息,用last命令查

日志系统软件:rsyslog
查软件是否已安装:rpm  -q  rsyslog
查文件名列表:rpm  -ql  rsyslog
查配置文件列表:rpm  -qc  rsyslog

查服务状态:systemctl  status  rsyslog  或  service  rsyslog  status
重启服务:systemctl  restart  rsyslog   或  service  rsyslog  restart
允许服务开机启动:systemctl  enable  rsyslog  或 chkconfig  rsyslog  on
禁止服务开机启动:systemctl  disable  rsyslog  或 chkconfig  rsyslog  off
查服务的开机设置状态:systemctl  status  rsyslog   或 chkconfig  --list  rsyslog

rsyslog的主配置文件:/etc/rsyslog.conf

日志类型:用来标识不同的应用程序.cat  /etc/rsyslog.conf
authpriv  用户账号认证:登录、退出登录、用户账号的创建和删除和修改
cron      计划任务
uucp   UUCP子系统
news   新闻组
crit  
kern   内核日志

日志等级:0~7     man  syslog 可查,大概在114行上面就是下表的内容

自定义日志文件(必会):
首先,在主配置文件中添加所需要定义的日志文件。
vim  /etc/rsyslog.conf   添加如下内容
authpriv.*      /var/log/usr.log

然后,重启服务:systemctl  restart  rsyslog   或  service  rsyslog  restart
最后,测试日志文件:
创建一个用户:useradd   ak
查看日志文件:cat  /var/log/usr.log

----
日志轮替、轮滚、切割

日志轮替的作用:
防止单个日志文件容量过大。实现将日志文件定期或按一定大小切割成多个日志文件。定期删除过期的日志文件。

软件名称:logrotate
查软件是否已安装:rpm  -q  logrotate
查文件名列表:rpm  -ql  logrotate
查配置文件列表:rpm  -qc  logrotate

主配置文件:/etc/logrotate.conf
看帮助手册:man  logrotate.conf   介绍了日志轮滚策略文件中的功能选项
日志轮滚策略文件目录:/etc/logrotate.d/*

例:yum的日志轮滚策略文件:cat  /etc/logrotate.d/yum  内容如下
/var/log/yum.log {
   missingok
   notifempty
   maxsize 30k
   yearly
   create 0600 root root
}

例:测试syslog日志轮滚策略文件。
logrotate  -fv  /etc/logrotate.d/syslog