日志管理

1、.日志服务


在CentOS 6.x中日志服务已经由rsyslogd取代了原先的syslogd服务。

rsyslogd的新特点:

  • 基于TCP网络协议传输日志信息;
  • 更安全的网络传输方式;
  • 有日志消息的及时分析框架;
  • 后台数据库;
  • 配置文件中可以写简单的逻辑判断;
  • 与syslog配置文件相兼容。
     

确定服务启动

[root@localhost ~]# ps aux | grep rsyslogd
#查看服务是否启动
chkconfig --list | grep rsyslog
#查看服务是否自启动
 

2、常见日志的作用

 

通过日志可追踪黑客登录主机(lastb)

/var/log/cron         记录 了系统定时任务相关的日志。
/var/log/cups/        记录打印信 息的日志
/var/log/dmesg      记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自检信息。
/var/log/btmp         记录错误登录的日志。这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看,命令如下:
                                [root@localhost log]# lastb
                                    root          tty1     Tue Jun 4 22:38 - 22:38 (00:00)
                              #有人在6月4日22:38使用root用户,在本地终端1登录错误

/var/log/lastlog          记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件,不能直接vi,

                                           而要使用lastlog命令查看

 

/var//log/mailog         记录邮件信息。

/ var/log/ message       记录系统重要信息的日志。这个日志文件中会记录Linux系统的绝大
                                     多数重要信息,如果系统出现问题时,首先要检查的就应该是这个日志文件。

 

/ var/log/ secure               记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录。
                                          比如说系统的登录,ssh的登录,su切换用户,sudo授权, 甚至添加
                                              用户和修改用户密码都会记录在这个日志文件中。

/var/log/wtmp          永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机事件。

                               同样这个文件也是一个二进制文件,不能直接vi,而需要使用last命令来查看。

/var/run/utmp         记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信                                       息。同样这个文件不能直接vi, 而要使用w,who, users等命令来查询。
 

 

除了系统默认的日志之外,采用RPM方
式安装的系统服务也会默认把日志记录在
/var/log/目录中( 源码包安装的服务日志
是在源码包指定目录中)。不过这些日志
不是由rsyslogd服务来记录和管理的,而
是各个服务使用自己的日志管理文档来记
录自身日志。
 

日志文件格式


基本日志格式包含以下四列:

  1. 事件产生的时间;
  2. 发生事件的服务器的主机名;
  3. 产生事件的服务名或程序名;
  4. 事件的具体信息。

2、/etc/rsyslog.conf配置 文件
authpriv.*                                 /var/log/secure
#服务名称[连接符号]日志等级          日志记录位置
#认证相关服务.所有日志等级        记录在/var/log/secure日志中
 

 

连接符号
◆连接符号可以识别为:
➢“*” 代表所有日志等级,比如:“ authpriv.*"代表authpriv认证信息服务产生的日志,所有的日志等级都记录
➢“.”代表只要比后面的等级高的(包含该等级)日志都记录下来。比如:“cron.info” 代表cron服务产生的日志,只要日
志等级大于等于info级别,就记录
➢“.=”代表只记录所需等级的日志,其他等级的都不记录。比
如:“*.= emerg?”代表人和日志服务产生的日志,只要等级是emerg等级就记录。这种用法及少见,了 解就好
➢“.!” 代表不等于,也就是除了该等级的日志外,其他等级的日志都记录。
 

日志等级

debug_
一般的调试信息说明
info .
基本的通知信息
notice
普通信息,但是有一-定的重要性
warning
警告信息,但是还不回影响到服务或系统的运行
err

错误信息,- -般达到err等级的信息以及可以影响到服务或系统的运行了。

crit
临界状况信息,比err等级还要严重
alert
警告状态信息,比crit还要严重。必须立即采取行动
emerg
疼痛等级信息,系统已经无法使用了
 

日志记录位置
”日志文件的绝对路径,如“/var/log/secure”
◆系统设备文件, 如“/dev/lp0”

转发给远程主机,如“@192.168.0.210:514“.
用户名,如root
忽略或丢弃日志,如“~”

 

日志轮替

1、日志文件的命名规则
如果配置文件中拥有“dateext”参数,那
么日志会用日期来作为日志文件的后缀,
例如“
secure-20130605” 。这样的话日 志
文件名不会重叠,所以也就不需要日志文
件的改名,只需要保存指定的日志个数,
删除多余的日志文件即可。
 

 

2、logrotate配置 文件
参数            参数说明
daily           日志的轮替周期是每天
weekly          日志的轮替周期是每周
monthly         日志的轮替周期是每月
rotate数字      保留的日志文件的个数。0指没有备份
compress       日志轮替时,旧的日志进行压缩
create mode owner group                   建 立新日志,同时指定新日志的权限与所有者和所属组。如create 0600 root utmp
mail address      当日志轮替时,输出内容通过邮件发送到指定的 邮件地址。如mail [email protected]

minsize               大小日志轮替的最小值。也就是日志一-定要达到这个最小值才会轮替,否则就算时间达到也不轮替

size大小            日志只有大于指定大小才进行日志轮替,而不是按照时间轮替。如size 100k

missingok         如果日志不存在,则忽略该日志的警告信息
notifempty         如果日志为空文件,则不进行日志轮替
dateext          使用日期作为日志轮替文件的后缀。如secure-20130605

 

源码包日志轮替

例:

3、把apache日志加入轮替
[root@localhost ~]# vi /etc/logrotate.conf
/usr/ local/apache/logs/access log {
daily
create
rotate 30
}

 

 

4、logrotate命 令
[root@localhost ~]# logrotate [选项]配置文件名])
选项:
如果此命令没有选项,则会按照配置文件中的条件进行日志轮替
-V:    显示日志轮替过程。加了-v选项,会显示日志的轮替的过程
-f:       强制进行日志轮替。不管日志轮替的条件是否已经符合,强制配置文件中所有的日志进行轮替.
 

你可能感兴趣的:(linux)