Linux日志管理完整版.docx

?

?

Linux日志管理

?

?

简介

(1)日志服务

在CentOS6.x中日志服务已经由rsyslogd取代了原先的syslogd服务。rsyslogd日志服务更加先进，功能更多。但是不论该服务的使用，还是日志文件的格式其实都是和syslogd服务相兼容的，所以学习起来基本和syslogd服务一致。

rsyslogd的新特点：

基于TCP网络协议传输日志信息；更安全的网络传输方式；有日志消息的及时分析框架；后台数据库；配置文件中可以写简单的逻辑判断；与syslogd配置文件相兼容。

1）确定服务启动

psaux|greprsyslogd#查看服务是否启动

chkconfig–list|greprsyslog#查看是否自启动

2）常见日志的作用

日志文件说明

/var/log/cron记录了系统定时任务相关的日志

/var/log/cups/记录打印信息的日志

/var/log/dmesg记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息

/var/log/btmp记录错误登录的日志。该文件是二进制文件，不能直接vi查看，而要使用lastb命令查看

/var/log/lastlog记录系统中所有用户最后一次登录时间的日志，该文件也是二进制文件，不能直接vi，而要使用lastlog命令查看

/var/log/mailog记录邮件信息

/var/log/message记录系统重要信息的日志。这个日志中会记录Linux系统的绝大多数重要信息，如果系统出现问题时，首先要检查的就应该是这个日志文件

/var/log/secure记录验证和授权方面的信息，只要涉及账户和密码的程序都会记录。如系统的登录，ssh的登录，su切换用户，sudo授权，甚至添加用户修改用户密码都会记录在这个日志文件中

/var/log/wtmp永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件，需使用last命令来查看

/var/prun/utmp记录当前已经登录的用户信息。这个文件会随着用户的登录和注销而不断变化，只记录当前用户的信息，同样这个文件不能之间vi，需使用w、who、users等命令来查询

除了系统默认的日志之外，采用RPM方式安装的系统服务也会默认把日志记录在/var/log/目录中(源码包安装的服务日志是在源码包指定目录中)，不过这些日志不是由rsyslogd服务来记录和管理的，而是由各个服务使用自己的日志管理文档来记录自身日志。常见的日志有：

日志文件说明

/var/log/httpdRPM包安装的apache服务的默认日志目录

/var/log/mailRPM包安装的邮件服务的额外日志目录

/var/log/samba/RPM包安装的samba服务的日志目录

/var/log/sssd/守护进程安全服务目录

rsyslogd日志服务

(1)日志文件格式

基本日志格式包含四列：事件产生的时间；发生事件的服务器的主机名；发生事件的服务名或程序名；事件的具体信息。

(2)/etc/rsyslog.conf配置文件

authpriv.*?????????????????????????????????????????????/var/log/secure

服务名称[连接符号]日志等级?????????日志记录位置

认证相关服务.所有日志等级??????????记录在/var/log/secure日志中

服务名称说明

auth安全和认证相关消息(不推荐使用authpriv替代)

authpriv安全和认证相关消息(私有的)

cron系统定时任务cront和at产生的日志

daemon和各个守护进程相关的日志

ftpftp守护进程产生的日志

kern内核产生的日志(不是用户进程产生的)

local0-local7为本地使用预留的服务

lpr打印产生的日志

mail邮件收发信息

news与新闻服务器相关的日志

syslog有syslogd服务产生的日志信息(虽然服务名称已经改为rsyslogd，但是很多配置还是沿用了syslogd，这里并没有修改服务名)

user用户等级类别的日志信息

uucpuucp子系统的日志信息，uucp是早起linux系统进行数据传递的协议，后来也常用在新闻组服务中

(3)连接符号

一般的连接符号可识别为：

代表所有日志等级，比如：authpriv.代表authpriv认证信息服务产生的日志，所有的日志等级都记录；?????

.代表只要比后面的等级高的(包含该等级)日志都记录下来。比如：代表cron服务产生的日志，只要日志等级大于等于info级别，