日志管理-创新互联

/var/log

创新互联“设计定江山,服务赢天下“的思想,用细节和态度获得客户的认可与同行的尊重,服务是创新互联企业文化中重要的核心思想,每一位员工要致力成为客户心中坚实的服务后盾。

常用的系统日志如下:

核心启动日志:/var/log/messages

系统报错或重启服务等日志:/var/log/messages

邮件系统日志:/var/log/maillog

cron(定制任务日志):/var/log/cron #计划日志执行成功与否,在这个文件中

验证系统用户登录: /var/log/secure

记录所有的登录和登出:/var/log/wtmp

每个用户最后登入信息:/var/log/lastlog

错误的登入信息:/var/log/btmp

>/var/log/wtmp #清空登入登出记录

last #查看wtmp

lastlog #查看用户最后登录时间

lastb #查看错误登入信息,可以判断是否存在暴力破解

2.日志记录方式: 先分类,然后每个类中再分级别

主要7种日志分类(FACILITY):

authpriv安全认证相关

cron      at和cron定时相关

daemon后台进程相关

kern内核产生

lpr打印系统产生

mail邮件系统相关

syslog日志服务本身

news新闻系统 (和BBS差不多,新闻组)

uucp      uucp系统产生 。Unix-to-Unix Copy(UNIX至UNIX的拷贝),Unix系统的一项功能,允许计算机之间以存储-转发方式交换e-mail和消息。在Internet兴起之前是Unix系统之间连网的主要方式。

local0到local7  #共8个类型,系统保留的:8个系统日志类型,给其它程序使用。或用户 自定义用

8个日志级别:以下排列,由轻到重

级别(PRIOROTY):

debug排错信息。开发人

info正常信息

notice稍微要注意的

warn警告

err(error)错误

crit(critical)关键的错误

alert警报警惕

emerg(emergency)紧急,突发事件

日志服务:

1).rhel5

服务名称:syslog

配置文件:

#vim /etc/syslog.conf

2) .RHEL6:rsyslog

配置文件:

#vim /etc/rsyslog.conf

3).RHEL7:rsyslog

配置文件:

#vim /etc/rsyslog.conf

进入配置文件显示内容如下:

1. kern.*内核类型的所级别日志

2 *.info;mail.none;news.none;authpriv.none;cron.none:由于 mail, news, authpriv, cron 等类别产生的讯息较多,因此在 /var/log/messages 里面不记录这些项目。除此其他讯息都写入/var/log/messages 中。所以messages 文件很重要

3. authpriv.*认证方面的讯息均写入 /var/log/secure 档案;

4. mail.*:邮件方面的讯息则均写入 /var/log/maillog 档案;

5. cron.*:例行性工作排程均写入 /var/log/cron 档案;

6. local7.*:将本机开机时应该显示到屏幕的讯息写入到 /var/log/boot.log 档案中;

/etc/rsyslog.conf中日志输入规则:

例:

. :代表『比后面还要高的等级都被记录下来』的意思,

例如: mail.info 代表只要是 mail 类型的信息,而且该信息等级高于 info (包括 info 本身)时,就会被记录下来的意思。

.=:代表所需要的等级就是后面接的等级而已, 其他的都不要!

.!:代表不等于,亦即是除了该等级外的其他等级都记录。

举例:

cron.none对于cron类型日志不记录任何信息

cron.=err对于cron类型日志只记录err级别的信息

cron.err对于cron类型日志记录大于err级别的信息

cron.!err对于cron类型日志不记录err级别的信息,其他级别都记录。

记录日志的位置:

1、日志的相对路径:通常就是放在 /var/log中

2、 存在远程日志服务器上

3、有时日志会直接弹出在屏幕上。类似于wall命令。

扩展:

wall命令介绍:

      wall -- send a message to everybody’sterminal.

[root@localhost ~]#wall Today is nice day!!!

wall Today is nicedayvim /etc/rsyslog.conf !

Broadcast message fromroot@localhost.localdomain (pts/0) (Thu Dec 17 22:10:28 2015):

Today is nice dayvim/etc/rsyslog.conf !

这样所有登录Linux的虚端的用户都会收到这个信息。

[root@localhost ~]# vim /etc/rsyslog.conf

mail.*                                                 -/var/log/maillog

在上面的第四行关于 mail 的记录中,在记录的档案 /var/log/maillog 前面还有个减号『 - 』是干嘛用的?

由于邮件所产生的讯息比较多,因此我们希望邮件产生的讯息先储存在速度较快的内存中 (buffer) ,等到数据量够大了才一次性的将所有数据都填入磁盘内,这样将有利于减少对磁盘读写的次数,减少IO读写开销。另外,由于讯息是暂存在内存内,因此若不正常关机导致登录信息未写入到文档中,可能会造成部分数据的遗失。

自定义sshd服务的日志

[root@localhost ~]# vim /etc/rsyslog.conf

local0.*                                               /var/log/sshd.log

[root@localhost ~]#systemctl restart rsyslog.service

配置sshd服务的配置文件

[root@localhost ~]# vim /etc/ssh/sshd_config

SyslogFacility local0

[root@localhost ~]#systemctl restart sshd

[root@localhost ~]# ls /var/log/sshd.log

/var/log/sshd.log

[root@localhost ~]# cat!$

cat /var/log/sshd.log

Dec 17 22:18:38localhost sshd[35876]: Server listening on 0.0.0.0 port 22.

Dec 17 22:18:38localhost sshd[35876]: Server listening on :: port 22.

日志查看方式

时间   主机   进程ID       执行的操作

如何防止日志被***删除呢?

[root@localhost ~]#chattr +a /var/log/sshd.log

[root@localhost ~]#lsattr /var/log/sshd.log

-----a----------/var/log/sshd.log

加入了这个属性后,你的 /var/log/messages 登录档从此就仅能被增加,而不能被删除,直到 root 以『 chattr -a /var/log/messages 』取消这个 a 的参数后,才能被删除移!

5.日志回滚:

logrotate(日志回滚过程: 创建新文件、改名旧文件。)

配置文件:

#vim/etc/logrotate.conf

[root@localhost ~]# vim /etc/logrotate.conf

weekly <==预设每个礼拜对日志档进行一次 rotate 的工作

 rotate  4<==保留几个日志文档呢?预设是保留四个!

 create <==回滚日志后,创建一个新的空文件来存储新的数据。

/var/log/wtmp {

   monthly

   create 0664 root utmp

       minsize 1M

   rotate 1

说明:

/var/log/wtmp { <==仅针对 /var/log/wtmp 所设定的参数

另外有需要云服务器可以了解下创新互联cdcxhl.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。


文章名称:日志管理-创新互联
URL网址:http://scyanting.com/article/epsdh.html