Linux系统日志

最新推荐文章于 2025-07-01 14:40:40 发布

Vamei007

最新推荐文章于 2025-07-01 14:40:40 发布

阅读量1k

点赞数

CC 4.0 BY-SA版权

本文链接：https://blog.youkuaiyun.com/weixin_43287982/article/details/83117779

本文介绍了Linux系统日志分析的重要性，讲解了日志服务配置文件、常见日志类型及日志级别。通过实验展示了如何使用journal进行日志管理，并讨论了如何配置永久保存日志文件。此外，还涉及了系统时间管理，包括使用chrony同步系统时钟。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

日志分析

什么是日志分析

日志数据可以是有价值的信息宝库，也可以是毫无价值的数据泥潭。要保护和提高你的网络安全，由各种操作系统、应用程序、设备和安全产品的日志数据能够帮助你提前发现和避开灾难，并且找到安全事件的根本原因。当然，日志数据对于实现网络安全的价值有多大取决于两个因素:第一，你的系统和设备必须进行合适的设置以便记录你需要的数据。第二，你必须有合适的工具、培训和可用的资源来分析收集到的数据。收集堆积如山的事件日志数据，如果没有经过培训的人员和资源对这些日志数据进行监测和分析，就如同没有收集任何数据一样毫无用处。
日志存在于/var/log/中，我们可以用tail，head，gerp，sed，cat，tac（反向示例）来查看系统产生的日志。

系统日志服务配置文件

vim /etc/rsyslog.conf

下面是常见的日志类型：

 messages        系统服务及日志，包括服务的信息，报错等等
 auth 	         用户认证时产生的日志，如login命令、su命令。
 authpriv 	 与 auth 类似，但是只能被特定用户查看。
 console 	 针对系统控制台的消息。
 cron 	         系统定期执行计划任务时产生的日志。
 daemon 	 某些守护进程产生的日志。
 ftp 	         FTP服务。
 kern 	         系统内核消息。
 local0.local7 	 由自定义程序使用。
 lpr 	         与打印机活动有关。
 mail 	         邮件日志。
 mail(syslog)-rsyslog         服务内部的信息，时间标识
 mark 	         产生时间戳。系统每隔一段时间向日志文件中输出当前时间，每行的格式类似于 May 26 11:17:09 rs2 -- MARK --，可以由此推断系统发生故障的大概时间。
 news 	         网络新闻传输协议(nntp)产生的消息。
 ntp             网络时间协议(ntp)产生的消息。
 user            用户进程。
 uucp 	         UUCP子系统。
 local           自定义的日志设备

日志级别分为：

debug 	调试程序产生的信息。
info 	通用性消息，一般用来提供有用信息。
notice 	不是错误，但是可能需要处理。
warning 	警告。
err 	一般错误消息。
crit 	危险情况，例如硬盘错误，可能会阻碍程序的部分功能。
alert 	需要立即修复，例如系统数据库损坏。
emerg 	紧急情况，系统不可用（例如系统崩溃），一般会通知所有用户。
none 	没有优先级，不记录任何日志消息。

注意：从上到下，级别从低到高，记录的信息越来越少，详细的可以：man 3 syslog

实验

查看日志
在这里插入图片描述
开始先用 > /var/log/messages 清空记录日志的文件
实验中可以用 > 清空日志文件，但在工作中不能这样做
然后输入 logger ceshi 命令
查看 cat /var/log/messages
备份日志
用tar打包/var/文件即可
自己制作日志
用vim修改/etc/rsyslog.conf文件
命名日志为 westos
在这里插入图片描述
重启服务，并查看westos文件

将自己的日志发送到指定的服务器（日志同步）
服务器：
为了能接受到客户主机发来的文件，需要开启防火墙的相关通道，也可以直接关闭防火墙
然后在/etc/rsyslog.conf文件打开相应接口
加载udp传输模块，开启514端口：
在这里插入图片描述

客户主机：
同步日志到服务器，同样需要编辑/etc/rsyslog.conf文件，在相应的日志后面加上服务器的IP

验证
用tail 动态监控

自定义日志格式

%timegenerated%     ##显示日志时间  
%FROMHOST-IP%       ##显示主机ip   
%syslogtag%         ##日志记录目标    
%msg%               ##日志内容

用vim
在这里插入图片描述

在这里插入图片描述
…中间省略…

日志以我们设定的格式输出

使用journal进行日志管理

journal 用于直接查看当下在系统内存中的日志，
rsyslog 是将日志采集到文件中，通过查看文件来查看日志
命令 jouralctl 查看所有日志
注意：jouralctl直接查看内存中所有的日志，若重启后，无法查看以前的日志
常用参数

journalctl -n(new) 5        查看最新后5行的日志 
--since 9:20        查看从9：20开始的日志 
--since 9:00 --until 11:00        查看时间段内的日志 
--since "2017-05-27 09:37:00" --until "2017-05-27 10:47:00"         查看  2017-05-27 09:37:00 到  2017-05-27 10:47:00 之间日志。
-p err        查看错误日志 
-o verbose        显示日志详细信息 
_PID=num _COMM=sshd        查看指定PID和命令的日志

Journald将日志文件存储在 /var/log/journal/。日志以循环滚动的方式存储到二进制文件中，所以这里的文件无法直接查看。日志系统默认最大占用 16MB 空间，可以修改 /etc/systemd/journald.conf文件重新配置Journald。
更多关于Journald的内容请参考

前面说过journal是查看内存中的日志，若重启后，无法查看以前的日志，下面来配置永久保存的日志文件

1.创建日志文件：
mkdir /var/log/journal
2.更改日志所属的用户组：
chgrp systemd-journal /var/log/journal
3.更改文件的组的权限：
chmod g+s /var/log/journal
4.重新加载配置文件：
kill -1 进程的pid
检验
在这里插入图片描述

系统时间管理

timedatectl          --查看系统时间
在这里插入图片描述
timedatectl list-timezones           --列出所有时区
timedatectl set-timezone 指定时区          --设置系统时区

手动调整系统时间：timedatactl set-time “2019-11-26 08:08:08”