日志的管理
日志介绍:
1.日志文件是重要的系统信息文件,记录了许多的重要的系统事件,包括有用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等
2.日志对于安全来说非常的重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因或者受到攻击时攻击者留下的痕迹
3.日志是用来记录重大事件的工具
查询日志文件
查看登录验证和授权等信息
日志服务
在Centos7.6日志服务是rsyslogd,在Centos6.x日志服务是syslogd,但rsyslogd功能更加的强大
配置文件的地址:/etc/rsyslog.conf
文件的格式为:*.* 存放日志文件
其中第一个 * 代表日志类型,第二个 * 代表日志级别
日志类型
日志级别
查看路径/etc/rsyslog.conf
日志服务配置文件
查询Linux中rsyslogd服务是否启动
反向进行匹配:只选择不匹配的行
查询rsyslogd服务的自启动状态
日志文件的格式
介绍:由日志服务rsyslogd记录的日志文件,日志文件的格式有4种:
查看/var/log/secure日志
自定义日志服务
在/etc/rsyslog.conf中添加一个日志文件/var/log/han.log,当有事件发送时,该文件会接收到信息并保存
打开日志文件
增加自定义日志
创建文件
查看文件内容:空文件
重启后再次,查看han.log文件
日志轮替
介绍:
日志轮替就是把旧的日志文件移动并改名,同时建立新的空日志文件,当旧日志文件超出保存的范围之后,就会进行删除。
日志轮替文件命名:
1.centos7使用logrotate进行日志轮替管理,想改变日志轮替文件名,需要通过/etc/logrotate.conf配置文件中的"dateext"参数;
2.若配置文件中有 "dateext"参数,则日志会用日期来作为日志文件的后缀,这样的日志则不会重叠,也就不需要日志文件的改名,只需要指定保存日志个数,删除多余的日志文件就可;
3.若配置文件中没有"dateext"参数,日志文件就需要进行改名。当第一次进行日志轮替时,当前的secure日志会自动改名为secure.1 ,然后新建secure日志,用来保存新的日志。当第二次进行日志轮替时,secure.1会自动改名为secure.2 ,当前的secure日志会自动改名为secure.1,然后再新建secure日志,用来保存新的日志。
logrotate配置文件
地址:/etc/logrotate.conf为logrotate的全局配置文件
1..weekly:rotate log files weekly 每周对日志文件进行一次轮替
2 rotate 4:keep 4 weeks worth of backlogs 共保存4份日志文件,当新建立的日志文件时,旧的会被删除
3. create:create new(empty)log files after rotating old ones 创建新的空的日志文件,在日志轮替后
4. dateext:use date as a suffx of the rotated file 使用日期作为日志轮替文件的后缀
5.compress:uncomment this if you want your log files compressed 日志文件是否压缩,若取消注释,则日志会在转储的同时进行压缩
自定义日志轮替
logrotate配置文件:
把自己的日志加入到日志轮替
第一种方法:直接在/etc/logrotate.conf配置文件中写入该日志的轮替策略
第二种方法:在/etc/logrotate.d/目录中新建立该日志的轮替文件,在该轮替文件中写入正确的轮替策略,因为该目录中的文件会被 include (包括)到主配置文件中,所以也可以把日志加入轮替
第二种方法为常用的方法:因为系统中需要轮替的日志非常的多,直接放到/etc/logrotate.conf配置文件不利于管理
在该目录下创建文件
编写文件内容
内存日志
journalctl:查看全部的内存日志
journalctl -n 3 :查看最新3条
journalctl --since 13:00 --until 15:20 :查看起始时间到结束时间的日志可加日期
journalctl -p err :报错日志
journalctl -o verbose :日志详细内容
journalctl _PID=1245 _COM=sshd :查看包含这些参数的日志
或者journalctl | grep sshd
注意:journalctl 查看的是内存日志,重启清空
常用指令演示
