日志的管理

日志介绍:

1.日志文件是重要的系统信息文件,记录了许多的重要的系统事件,包括有用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等

2.日志对于安全来说非常的重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因或者受到攻击时攻击者留下的痕迹

3.日志是用来记录重大事件的工具

查询日志文件

日志的管理_第1张图片

日志的管理_第2张图片 查看登录验证和授权等信息

日志的管理_第3张图片 

 日志服务

在Centos7.6日志服务是rsyslogd,在Centos6.x日志服务是syslogd,但rsyslogd功能更加的强大

配置文件的地址:/etc/rsyslog.conf

文件的格式为:*.* 存放日志文件

其中第一个 * 代表日志类型,第二个 * 代表日志级别

日志类型

日志的管理_第4张图片

日志级别

日志的管理_第5张图片

查看路径/etc/rsyslog.conf

日志的管理_第6张图片

 日志服务配置文件

查询Linux中rsyslogd服务是否启动

反向进行匹配:只选择不匹配的行 

查询rsyslogd服务的自启动状态

 日志文件的格式

介绍:由日志服务rsyslogd记录的日志文件,日志文件的格式有4种:

日志的管理_第7张图片

查看/var/log/secure日志

日志的管理_第8张图片 

 自定义日志服务

在/etc/rsyslog.conf中添加一个日志文件/var/log/han.log,当有事件发送时,该文件会接收到信息并保存

 打开日志文件

增加自定义日志

 创建文件

查看文件内容:空文件 

重启后再次,查看han.log文件 

日志的管理_第9张图片

 日志轮替

介绍:

日志轮替就是把旧的日志文件移动并改名,同时建立新的空日志文件,当旧日志文件超出保存的范围之后,就会进行删除。

日志轮替文件命名:

1.centos7使用logrotate进行日志轮替管理,想改变日志轮替文件名,需要通过/etc/logrotate.conf配置文件中的"dateext"参数;

2.若配置文件中有 "dateext"参数,则日志会用日期来作为日志文件的后缀,这样的日志则不会重叠,也就不需要日志文件的改名,只需要指定保存日志个数,删除多余的日志文件就可;

3.若配置文件中没有"dateext"参数,日志文件就需要进行改名。当第一次进行日志轮替时,当前的secure日志会自动改名为secure.1 ,然后新建secure日志,用来保存新的日志。当第二次进行日志轮替时,secure.1会自动改名为secure.2 ,当前的secure日志会自动改名为secure.1,然后再新建secure日志,用来保存新的日志。

logrotate配置文件

地址:/etc/logrotate.conf为logrotate的全局配置文件

1..weekly:rotate log files weekly  每周对日志文件进行一次轮替

2 rotate 4:keep 4 weeks worth of backlogs 共保存4份日志文件,当新建立的日志文件时,旧的会被删除

3. create:create new(empty)log files after rotating old ones 创建新的空的日志文件,在日志轮替后

4. dateext:use date as a suffx of the rotated file 使用日期作为日志轮替文件的后缀

5.compress:uncomment this if you want your log files compressed  日志文件是否压缩,若取消注释,则日志会在转储的同时进行压缩

日志的管理_第10张图片

自定义日志轮替

logrotate配置文件:

日志的管理_第11张图片

把自己的日志加入到日志轮替

第一种方法:直接在/etc/logrotate.conf配置文件中写入该日志的轮替策略

第二种方法:在/etc/logrotate.d/目录中新建立该日志的轮替文件,在该轮替文件中写入正确的轮替策略,因为该目录中的文件会被 include (包括)到主配置文件中,所以也可以把日志加入轮替

第二种方法为常用的方法:因为系统中需要轮替的日志非常的多,直接放到/etc/logrotate.conf配置文件不利于管理

在该目录下创建文件

 编写文件内容

日志的管理_第12张图片

 内存日志

journalctl:查看全部的内存日志

journalctl -n 3 :查看最新3条

journalctl --since 13:00 --until 15:20 :查看起始时间到结束时间的日志可加日期

journalctl -p err :报错日志

journalctl -o verbose :日志详细内容

journalctl _PID=1245 _COM=sshd :查看包含这些参数的日志

或者journalctl | grep sshd

注意:journalctl 查看的是内存日志,重启清空

常用指令演示

日志的管理_第13张图片

日志的管理_第14张图片

日志的管理_第15张图片

日志的管理_第16张图片 

 

你可能感兴趣的:(linux)