- 1、本文档共9页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
?
?
Linux日志管理
?
?
简介
(1)日志服务
在CentOS6.x中日志服务已经由rsyslogd取代了原先的syslogd服务。rsyslogd日志服务更加先进,功能更多。但是不论该服务的使用,还是日志文件的格式其实都是和syslogd服务相兼容的,所以学习起来基本和syslogd服务一致。
rsyslogd的新特点:
基于TCP网络协议传输日志信息;更安全的网络传输方式;有日志消息的及时分析框架;后台数据库;配置文件中可以写简单的逻辑判断;与syslogd配置文件相兼容。
1)确定服务启动
psaux|greprsyslogd#查看服务是否启动
chkconfig–list|greprsyslog#查看是否自启动
2)常见日志的作用
日志文件说明
/var/log/cron记录了系统定时任务相关的日志
/var/log/cups/记录打印信息的日志
/var/log/dmesg记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息
/var/log/btmp记录错误登录的日志。该文件是二进制文件,不能直接vi查看,而要使用lastb命令查看
/var/log/lastlog记录系统中所有用户最后一次登录时间的日志,该文件也是二进制文件,不能直接vi,而要使用lastlog命令查看
/var/log/mailog记录邮件信息
/var/log/message记录系统重要信息的日志。这个日志中会记录Linux系统的绝大多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件
/var/log/secure记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录。如系统的登录,ssh的登录,su切换用户,sudo授权,甚至添加用户修改用户密码都会记录在这个日志文件中
/var/log/wtmp永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件,需使用last命令来查看
/var/prun/utmp记录当前已经登录的用户信息。这个文件会随着用户的登录和注销而不断变化,只记录当前用户的信息,同样这个文件不能之间vi,需使用w、who、users等命令来查询
除了系统默认的日志之外,采用RPM方式安装的系统服务也会默认把日志记录在/var/log/目录中(源码包安装的服务日志是在源码包指定目录中),不过这些日志不是由rsyslogd服务来记录和管理的,而是由各个服务使用自己的日志管理文档来记录自身日志。常见的日志有:
日志文件说明
/var/log/httpdRPM包安装的apache服务的默认日志目录
/var/log/mailRPM包安装的邮件服务的额外日志目录
/var/log/samba/RPM包安装的samba服务的日志目录
/var/log/sssd/守护进程安全服务目录
rsyslogd日志服务
(1)日志文件格式
基本日志格式包含四列:事件产生的时间;发生事件的服务器的主机名;发生事件的服务名或程序名;事件的具体信息。
(2)/etc/rsyslog.conf配置文件
authpriv.*?????????????????????????????????????????????/var/log/secure
服务名称[连接符号]日志等级?????????日志记录位置
认证相关服务.所有日志等级??????????记录在/var/log/secure日志中
服务名称说明
auth安全和认证相关消息(不推荐使用authpriv替代)
authpriv安全和认证相关消息(私有的)
cron系统定时任务cront和at产生的日志
daemon和各个守护进程相关的日志
ftpftp守护进程产生的日志
kern内核产生的日志(不是用户进程产生的)
local0-local7为本地使用预留的服务
lpr打印产生的日志
mail邮件收发信息
news与新闻服务器相关的日志
syslog有syslogd服务产生的日志信息(虽然服务名称已经改为rsyslogd,但是很多配置还是沿用了syslogd,这里并没有修改服务名)
user用户等级类别的日志信息
uucpuucp子系统的日志信息,uucp是早起linux系统进行数据传递的协议,后来也常用在新闻组服务中
(3)连接符号
一般的连接符号可识别为:
代表所有日志等级,比如:authpriv.代表authpriv认证信息服务产生的日志,所有的日志等级都记录;?????
.代表只要比后面的等级高的(包含该等级)日志都记录下来。比如:代表cron服务产生的日志,只要日志等级大于等于info级别,
文档评论(0)