auditsys系统日志管理
| 1.center、server、statistic服务器/var/log下的auditsys日志是不分日期往后面一直叠加的,日志文件会不断增大,有的会达到十几甚至二十几G大小,即占用空间也影响查询日志效率,需要我们手动删除日志。删除的日志已经同步到ES服务器了,所以不必担心删除掉的日志在控制台那边查询不了。但要注意不能直接删,需要按以下步骤来操作: 停止服务: systemctl stop filebeat, systemctl stop rsyslog 删除日志:rm -f /var/log/auditsys* 启动服务: systemctl start filebeat, systemctl start rsyslog 检查:看/var/log是否生成了新的auditsys日志 2.ES服务器上关于我们系统自身的日志索引可以通过在控制台ES配置进行保留时间的设置,但elasticsearch本身的日志是没有做限制的,一般正常情况下elasticsearch的日志量并不大,但如果做了加密或者elasticsearch服务有异常,那么日志量就会非常大(有一个客户几百G的磁盘就被日志怼满报警了),所以需要我们手动做一个定时日志清理任务: find /var/log/elasticsearch -mtime +10 -name “*.log” -exec rm -rf {} \; ##删除/var/log/elasticsearch目录下创建于10天前的文件 |