日志管理基础

rsyslog 日志管理
logrotate 日志轮转
采集 -----> 分析
一、处理日志的进程
rsyslogd: 绝大部分日志记录,和系统操作有关,安全,认证 sshd,su,计划任务 at,cron...
httpd/nginx/mysql: 可以以自己的方式记录日志
[root@yangs ~]# ps aux |grep rsyslogd
root 717 0.0 0.0 219752 3880 ? Ssl 09:05 0:00 /usr/sbin/rsyslogd -n
日志可以存放在本地
日志可以存放在远程服务器
二、常见的日志文件(系统、进程、应用程序)
1.#tail /var/log/messages //系统主日志文件
tail -20 /var/log/messages
2.#tail -f /var/log/messages //动态查看日志文件的尾部
3.# tailf /var/log/secure //认证、安全
4.# tail /var/log/maillog //跟邮件 postfix 相关
5.#tail /var/log/cron //crond、at 进程产生的日志
6.#tail /var/log/dmesg //和系统启动相关
7.#tail /var/log/audit/audit.log //系统审计日志
8.#tail /var/log/yum.log //yum安装过的软件包
9.#tail /var/log/mysqld.log //MySQL
10.#tail /var/log/xferlog //和访问 FTP 服务器相关
11.#w //当前登录的用户 /var/log/wtmp
12.#last //最近登录的用户 /var/log/btmp
13.#lastlog //所有用户的登录情况 /var/log/lastlog

案例 1: 统计登录失败 top 5
[root@aliyun ~]# grep 'Fail' /var/log/secure |awk '{print $11}' |sort |uniq -c|sort -k1 -n -r |head -5
7 172.16.130.14
6 172.16.130.70
5 172.16.130.56
3 172.16.130.80
2 172.16.130.76
案例 2: 统计登录成功
[root@aliyun ~]# grep 'Accepted' /var/log/secure |awk '{print $(NF-3)}' |sort |uniq -c
4 111.201.131.215
1 116.243.0.213
1 123.120.14.32
3 123.120.38.233
2 221.222.199.175
1 221.222.202.102
案例 3: 查看网卡是否已被驱动
[root@yang ~]# grep -i eth /var/log/dmesg
[ 0.809104] r8169 Gigabit Ethernet driver 2.3LK-NAPI loaded
[ 0.814193] r8169 0000:02:00.0 eth0: RTL8168g/8111g at 0xffffc9000183e000, 40:8d:5c:9b:3c:17, XID 0c000800
IRQ 25
[ 0.814195] r8169 0000:02:00.0 eth0: jumbo features [frames: 9200 bytes, tx checksumming: ko]