78、Linux 系统日志、防火墙、安全实践及系统分析全解析

Linux 系统日志、防火墙、安全实践及系统分析全解析

一、日志服务相关知识

1.1 日志协议与应用

• syslog 协议 ：由 Sendmail 项目创建的 syslog 协议已成为 Linux 系统日志记录的事实标准。而 SMTP 是邮件协议，FTP 是文件传输协议，NTP 是网络时间协议，它们都不是用于记录系统事件消息的协议。journalctl 是用于读取 systemd - journald 日志文件的工具，并非日志记录协议。
• 日志应用对比 ：
  | 应用名称 | 特点 |
  | ---- | ---- |
  | rsyslogd | 是 syslogd 的更快版本 |
  | syslogd | 原始的 syslog 应用，速度较慢 |
  | syslog - ng | 比 syslogd 更通用，但速度不快 |
  | systemd - journald | 读取日志条目查询速度快，但处理事件消息速度未专门优化 |
  | klogd | 属于原始 sysklogd 应用的一部分，速度不快 |

1.2 日志关键字与级别

• 日志设施关键字 ：cron 应用用于在 Linux 系统上调度作业，所以 cron 设施关键字代表从作业调度器接收的事件消息。而 user 代表用户事件，kern 代表内核事件，console 代表系统控制台事件，local0 通常在系统内自定义，一般不接收作业调度器的事件。