Linux日志檔案管理:
日志的功能:
- 用于記錄系統程式運作中發生的各種事件
- 通過閱讀日志,有助于診斷和解決系統故障
a)主要日志檔案
- 核心及系統日志:由系統服務syslog統一管理,根據其主配置檔案/etc/syslog.conf中的設定決定将核心消息及各種系統程式消息記錄到什麼位置
- 使用者日志:用于記錄linux系統使用者登入及退出系統的相關資訊。包括使用者名、登入的終端、登入的時間、來源主機、正在使用的程序操作等
- 程式日志:由各種應用程式獨立管理的日志檔案,記錄格式不統一
- 日志儲存位置:/var/log/messages
主要日志檔案介紹:
- /var/log/messages :記錄linux核心消息及各種應用程式的公共日志資訊,包括啟動、IO錯誤、網絡錯誤、程式故障等
- /var/log/cron :記錄crond計劃任務産生的事件資訊
- /var/log/dmesg :記錄linux系統在引導過程中的各種事件資訊
- /var/log/maillog :記錄進入或發出系統的電子郵件活動
- /var/log/rpmpkgs :記錄系統中安裝的各rpm包清單資訊
Eg:清單檢視預設的日志目錄及檔案
ls /var/log
b)日志檔案分析
1.核心及系統日志
由系統服務syslog統一管理
軟體包:syslogd -1.4.1-39.2
主要程式:/sbin/klogd、 /sbin/syslogd
配置檔案:/etc/syslog.conf
Eg:檢視/etc/syslog.conf檔案中的内容,了解系統預設的日志設定
Grep - v “^$” /etc/syslog.conf ——過濾空行
受syslogd服務管理的日志檔案都是linux系統中最主要的日志檔案,記錄了linux系統中核心、使用者認證、郵件、計劃任務等最基本的系統消息
| 0EMERG(緊急) | 會導緻主機系統不可用的情況 |
| 1ALERT(警告) | 必須馬上采取措施解決的問題 |
| 2CRIT(嚴重) | 比較嚴重的情況 |
| 3ERR(錯誤) | 運作出現錯誤 |
| 4WARNING(提醒) | 可能影響系統功能,需要提醒使用者的重要事件 |
| 5NOTICE(注意) | 不會影響正常功能,但是需要注意的事件 |
| 6INFO(資訊) | 一般資訊 |
| 7DEBUG(調試) | 程式或系統調試資訊等 |
Eg:通過檢視/var/log/messages檔案了解系統啟動過程中的核心加載、硬體識别等資訊
Less /var/log/messages = dmesg | less
/var/log/messages檔案記錄格式:
- 時間标簽:消息發出的日期和時間
- 主機名:生成消息的計算機的名稱
- 子系統名稱:發出消息的應用程式的名稱
- 消息:消息的具體内容
Syslog日志服務是一個常會被***的顯著目标,破壞了它将會使管理者難以發現***以及***的痕迹【需要特别注意監控其守護程序以及配置檔案】
2.使用者日志
儲存使用者登入、退出系統等相關資訊
- /var/log/lastlog:記錄每個使用者最近的登入事件
- /var/log/secure :記錄使用者認證相關的安全事件資訊
- /var/log/wtmp :記錄每個使用者登入、登出及系統啟動和停機事件
- /var/run/btmp :記錄失敗的、錯誤的登入嘗試及驗證事件
1)Users 、who、w 指令——查詢目前登入的使用者情況
Users:簡單輸出目前登入使用者名稱、每個顯示的使用者名對應一個登入會話
Who :報告目前登入到系統中的每個使用者的資訊
(預設輸出包括使用者名、終端類型、登入日期及遠端主機)
W:用于顯示目前系統中的每個使用者及其所運作的程序資訊
2)Last、lastb指令——查詢使用者登入的曆史記錄
- Last :查詢成功登入到系統的使用者記錄,最近的登入情況将顯示在最前面
- Lastb :查詢登入失敗的使用者記錄,比如登陸地使用者名錯誤、密碼不正确等
3.程式日志
1)由相應的應用程式獨立進行管理
- Web服務:/var/log/httpdaccess_log、 error_log
- 代理服務:/var/log/squidaccess_log、cache.log 、squid.out 、store.log
- FTP 服務: /var/log/xferlog
2)分析工具
- 文本檢視、grep過濾檢索、webmin管理套件中檢視
- Awk 、sed等文本過濾、格式化編輯工具
- Webalizer 、awstats等專用日志分析工具
3)日志管理政策
- 及時做好備份和歸檔
- 延長日志儲存期限
- 控制日志通路權限(日志中可能會包含各類敏感資訊,如賬戶、密碼等)
集中管理日志
- 便于日志資訊的統一收集、整理和分析
- 杜絕日志資訊的意外丢失、惡意篡改或删除
Eg:集中管理日志伺服器:
步驟:
調整syslogd伺服器設定,建立集中管理的日志伺服器
将客戶機B中crond服務産生的日志消息,自動發送到伺服器A的/var/log/cron檔案中
