一级标题基本介绍
1) 日志文件是重要的系统信息文件,其中记录了许多重要的系统事件,包括
用户的登录信息、系统的启动信息、系统 的安全信息、邮件相关信息、
各种服务相关信息等。
2) 日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日
志来检查错误发生的原因,或者受到攻击 时攻击者留下的痕迹。
3) 简单来说,日志是用来记录重大事件的工具
系统常用的日志
/var/log/ 目录就是系统日志文件的保存位置
这个表里标红的是必须要记住的
比如:
使用 root 用户通过 xshell6 登陆, 第一次使用错误的密码,第二次使用
正确的密码登录成功 看看在日志文件/var/log/auth.lg没有记录相关信息
日志管理服务
rsyslogd:就是一个后台程序,服务
日志管理服务和前面的那些日志到底什么关系呢?
把日志记录到相关的文件上去
查询 Linux 中的 rsyslogd 服务是否启动
ps aux | grep "rsyslog"
或
ps aux | grep "rsyslog" | grep -v "grep"
grep -v表示反向匹配
查询 rsyslogd 服务的自启动状态
systemctl list-unit-files | grep rsyslog
显示enable就表示开了
配置文件:
把日志记录到相关的文件上去
/etc/rsyslog.conf 编辑文件时的格式为:
*.*
存放日志文件
其中第一个*代表日志类型,第二个*代表日志级别
1) 日志类型分为:
auth ##pam 产生的日志
authpriv ##ssh、ftp 等登录信息的验证信息
corn ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog)-rsyslog##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to nuix copy 主机之间相关的通信
local 1-7 ##自定义的日志设备
2) 日志级别分为:
debug ##有调试信息的,日志通信最多
info ##一般信息日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等重要信息
none ##什么都不记录
注意:从上到下,级别从低到高,记录信息越来越少
由日志服务 rsyslogd 记录的日志文件,日志文件的格式包含以下 4 列:
1) 事件产生的时间
2) 产生事件的服务器的主机名
3) 产生事件的服务名或程序名
4) 事件的具体信息
比如:
看一下 /var/log/auth.log日志这个日志中记录的是用户验证和授权
方面的信息 来分析如何查看
日志管理服务应用实例
在/etc/rsyslog.conf 中添加一个日志文件/var/log/hsp.log,当有
事件发送时(比如 sshd 服务相关事件),该文件会接收到 信息并保存.
vim /etc/rsyslog.conf
然后随便找个位置输
*.* //var/log/hsp.log
日志轮替
日志轮替就是把旧的日志文件移动并改名,同时建立新的空日志文件,当旧日
志文件超出保存的范围之后,就会进 行删除
日志轮替文件命名
1) centos7 使用 logrotate 进行日志轮替管理,要想改变日志轮替文
件名字,通过/etc/logrotate.conf 配置文件中“dateext” 参数:
2) 如果配置文件中有“dateext”参数,那么日志会用日期来作为日志文件
的后缀,例如 “secure-20201010”。这样日 志文件名不会重叠,也
就不需要日志文件的改名, 只需要指定保存日志个数,删除多余的日志
文件即可。
3) 如果配置文件中没有“dateext”参数,日志文件就需要进行改名了。当
第一次进行日志轮替时,当前的“secure”日 志会自动改名为
“secure.1”,然后新建“secure”日志, 用来保存新的日志。当第二
次进行日志轮替时,“secure.1” 会自动改名为“secure.2”, 当前
的“secure”日志会自动改名为“secure.1”,然后也会新建“secure
”日志,用来 保存新的日志,以此类推。
logrotate 配置文件
/etc/logrotate.conf 为 logrotate 的全局配置文件
weekly
每周对日志文件进行一次轮替
rotate 4
共保存 4 份日志文件,当建立新的日志文件时,旧的将会被删除
create
创建新的空的日志文件,在日志轮替后
dateext
使用日期作为日志轮替文件的后缀
#下面是单独设置,优先级更高。
no packages own wtmp and btmp -- we'll rotate them here
/var/log/wtmp {
monthly # 每月对日志文件进行一次轮替
create 0664 root utmp
# 建立的新日志文件,权限是 0664 ,所有者是 root,
所属组是 utmp 组
minsize 1M
# 日志文件最小
轮替大小是 1MB 。也就是日志一定要超过 1MB 才会
轮替,否则就算时间达到 一个月,也不进行日志转储
rotate 1 # 仅保留一个日志备份。也就是只有 wtmp 和
wtmp.1日志保留而已
}
/var/log/btmp {
missingok # 如果日志不存在,则忽略该日志的警告信息
monthly
create 0600 root utmp
rotate 1
}
#也可以把某个日志文件的轮替规则写到
/etc/logrotate.d 目录下
配置文件参数说明
daily 日志的轮替周期是每天
weekly 日志的轮替周期是每周
monthly 日志的轮替周期是每月
rotate 数字 保留的日志文件的个数。0 指没有备份
compress 日志轮替时,旧的日志进行压缩
create mode owner group 建立新日志,同时指定新日志的权限与所有
者和所属组。
mail address 当日志轮替时,输出内容通过邮件发送到指定的邮件地址。
missingok 如果日志不存在,则忽略该日志的警告信息
notifempty 如果日志为空文件,则不进行日志轮替
minsize 大小 日志轮替的最小值。也就是日志一定要达到这个最小值才
会轮替,否则就算时间达到也不轮替
size 大小 日志大于指定大小才进行日志轮替,而不是按照时间轮替。
dateext 使用日期作为日志轮替文件的后缀。
sharedscripts 在此关键字之后的脚本只执行一次。
prerotate/endscript 在日志轮替之前执行脚本(shell)命令。
postrotate/endscript 在日志轮替之后执行脚本命令。
把自己的日志加入日志轮替
1) 直接在/etc/logrotate.conf 配置文件中写入该日志的轮替策略
2) 在/etc/logrotate.d/目录中新建立该日志的轮替文件,在该轮替文件中
写入正确的轮替策略,因为该目录 中的文件都会被“include”到主配置文
件中,所以也可以把日志加入轮替。
3) 推荐使用第二种方法,因为系统中需要轮替的日志非常多,如果全都直接写
入/etc/logrotate.conf 配置文件,那么这 个文件的可管理性就会非
常差,不利于此文件的维护。
4) 在/etc/logrotate.d/ 配置轮替文件一览
比如:
在/etc/logrotate.conf 进行配置, 或者直接在
/etc/logrotate.d/ 下创建文件 hsplog 编写如下内容, 具体轮替
的效果 可以参考 /var/log 下的 boot.log 情况.
日志轮替机制原理
日志轮替之所以可以在指定的时间备份日志,是依赖系统定时任务。
在 /etc/cron.daily/目录,就会发现这个目录中是有 logrotate 文件
(可执行),logrotate 通过这个文件依赖定时任务执行的。
(就是cron每天会去执行logrotate,而logrotate会去读取策略或轮替规
则,rsyslog只管写日志,不管轮替)
查看内存日志
Linux中有一部分日志是写在内存里面的,没有写到文件里面
特点:当重新启动的时候,内存日志就会被清空
查看内存日志
journalctl ##查看全部
journalctl -n 3 ##查看最新 3 条
journalctl --since 19:00 --until 19:10:10
#查看起始时间到结束时间的日志可加日期
journalctl -p err ##报错日志
journalctl -o verbose ##日志详细内容
journalctl _PID=1245 _COMM=sshd
##查看包含这些参数的日志(在详细日志查看)
或者 用journalctl | grep sshd
比如:
使用 journalctl | grep sshd 来看看用户登录清空, 重启系统,
再次查询,看看日志有什么变化没有!
扫一扫
290
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
