目錄
- 基本介紹
- 日志的存放
- 存放目錄與存放内容
- 舉例說明
- 日志管理服務: rsyslogd
- 功能與配置
- 檢查自啟動
- 配置檔案 /etc/rsyslog.conf
- 修改配置檔案
- 日志檔案是重要的系統資訊檔案,其中記錄了許多重要的系統事件。包括使用者的登入資訊、系統的啟動資訊、系統的安全資訊、郵件相關資訊、各種服務相關資訊等。
- 日志對于安全來說也很重要。它記錄了系統每天發生的各種事情,通過日志來檢查錯誤發生的原因,或者受到攻擊時攻擊者留下的痕迹。
- 可以這樣了解 日志是用來記錄重大事件的工具
- 日志存放目錄: /var/log/
Linux 日志管理基礎 - 基本系統日志
Linux 日志管理基礎 - 日志内容:格式包含四列
- 事件産生的時間【時間】
- 産生事件的伺服器的主機名【地點】
- 産生事件的服務名或程式名【人物】
- 事件的具體資訊【事件】
- 使用root使用者通過xshell6登陸,第一次使用錯誤的密碼,第二次使用正确的密碼登入成功看看在日志檔案/var/log/sequre裡有沒有記錄相關資訊
-
Linux 日志管理基礎
- rsyslogd 是一項日志管理服務,将不同的系統資訊分類記錄到對應的目錄檔案下。
- rsyslogd 的配置檔案是/etc/rsyslog.conf , 通過修改配置檔案可以定制日志
- 原理示意圖
Linux 日志管理基礎
- 檢查是否啟動:
ps -aux | grep rsyslog | grep -v grep
- 檢查自啟動狀态:
systemctl list-unit-files | grep rsyslog
- 開啟自啟動:
systemctl enable rsyslog
- systemctl指令詳解
- 開啟自啟動:
編輯檔案時的格式為:.
其中第一個代表日志類型,第二個代表日志級别
- 日志類型
Linux 日志管理基礎 - 日志級别
Linux 日志管理基礎
-
日志管理服務應用執行個體
在/etc/rsyslog.conf 中添加一個日志檔案/var/log/LinuxStudy.log,當有事件發送時(比如sshd服務相關事件),該檔案會接收到資訊并儲存,進行重新開機,登入,看看是否有日志儲存
-
vim /etc/rsyslog.conf
-
Linux 日志管理基礎 - 重新開機,登入
- 檢視資訊
Linux 日志管理基礎