Linux日志论转

系统日志、审计日志、诊断日志

日志系统rsyslog

日志管理基础:
rsyslog 日志管理 
logrotate日志轮转

常见的日志文件

#tail -f /var/log/messages		        	#动态查看日志文件的尾部，系统主日志文件

#tail -f /var/log/secure		            #记录认证、安全的日志

tail /var/log/maillog			            #跟邮件postfix相关

#tail /var/log/cron			                #crond、at进程产生的日志

tail /var/log/dmesg			              	#和系统启动相关

#tail /var/log/yum.log                       #yum的日志

tail -f /var/log/mysqld.log                 #MySQL日志

tail /var/log/xferlog                  		#和访问FTP服务器相关

/var/log/boot.log                           #系统启动过程日志记录存放

#[root@linux-server ~]#w					   #当前登录的用户 /var/log/wtmp

#[root@linux-server ~]#last				   #最近登录的用户 /var/log/btmp
第一列，用户名；
第二列，终端位置，/pts/0 (伪终端)意味着从诸如ssh或者telnet的远程链接的用户，tty(teletypewriter)意味着直接连接到计算机或者本地链接的用户；
第三列，登录的ip或者内核。
第四列，开始时间；
第五列，结束时间(still login in 还未退出 down 直到正常关机 crash 直到强制关机)；

[root@linux-server ~]#lastlog			   #所有用户的登录情况 /var/log/lastlog

日志优先级

日志级别分为：7种日志级别代号0-7

0 debug             #有调试信息的，日志信息最多

1 info              #一般信息的日志，最常用

2 notice            #最具有重要性的普通条件的信息

3 warning           #警告级别

4 err               #错误级别，阻止某个功能或者模块不能正常工作的信息

5 crit              #严重级别，阻止整个系统或者整个软件不能工作的信息

6 alert             #需要立刻修改的信息

7 emerg             #内核崩溃等严重信息

none                #什么都不记录

logrotate日志轮转

一、logrotate (轮转，日志切割)

1. 如果没有日志轮转，日志文件会越来越大

2. 将丢弃系统中最旧的日志文件，以节省空间

3. logrotate本身不是系统守护进程，它是通过计划任务crond每天执行

   logrotate 配置文件：
   主配置文件：/etc/logrotate.conf (决定每个日志文件如何轮转)
   

   weekly 一周轮转
   daily 一天轮转
   monthly 一个月轮转
   yearly 一年轮转
   配置日志轮转
   [root@linux-server ~]# vim /etc/logrotate.conf	
   weekly     			#轮转的周期，一周轮转，单位有年,月,日 
   rotate 4			#保留4份 
   create				#轮转后创建新文件 
   dateext             #使用日期作为后缀 
   #compress			#日志轮替时,旧的日志进行压缩 
   include /etc/logrotate.d  			 #包含该目录下的配置文件,会引用该目录下面配置的文件
   
   /var/log/wtmp {			          	#对该日志文件设置轮转的方法    
    monthly			                #一月轮转一次  
    minsize 1M			            	#最小达到1M才轮转,否则就算时间到了也不轮转
    create 0664 root utmp		        #轮转后创建新文件，并设置权限   
    rotate 2			                #保留2份 
   }
   
   /var/log/btmp {    
    missingok			              	#丢失不提示    
    monthly			                
    create 0600 root utmp		        
    rotate 1			                
   } 
   

实战案例

# 指定日志的位置
/var/log/newbee{
# 在日志轮转前要做的事
prerotate
	# 取消隐藏权限a
	chattr -a /var/log/newbee
# 结束脚本
endscript
# weekly daily monthly yearly
# 以日期为后缀
dateext
# 轮转周期为 1天
daily
# 保留5份日志
rotate 5
# 设置属主属组 权限
create 0644 root root
# 设置压缩
compress
# 轮转之后要做的事情
postrotate
# 再次添加a权限
chattr +a /var/log/newbee
# 结束脚本
endscript
}


例1：轮转文件/var/log/yum.log

[root@linux-server ~]# vim /etc/logrotate.d/yum	   
/var/log/yum.log {
 missingok                                #丢失不提醒
 #notifempty                              #空文件不轮转 
 #size 30k									#只要到了30k就轮转
 #yearly
 daily                                     #每天轮转一次   
 monthly
 weekly
 rotate 3      
 create 0644 root root 
}

测试：
[root@linux-server ~]# /usr/sbin/logrotate /etc/logrotate.conf	  #手动轮转
[root@linux-server ~]# ls /var/log/yum*
/var/log/yum.log  /var/log/yum.log-20191110

[root@linux-server ~]# grep yum /var/lib/logrotate/logrotate.status #查看记录所有日志文件最近轮转的时间
"/var/log/yum.log" 2019-11-10-21:26:14

2：日志安全，操作日志的隐藏权限
[root@localhost log]# cd /etc/logrotate.d/
[root@localhost logrotate.d]# vim syslog
建议测试时先把/etc/logrotate.d/syslog中messages删除，然后在下面添加如下：
/var/log/messages{
    prerotate
       chattr -a /var/log/messages
    endscript
    #notifempty
    daily
        create 0600 root root
        missingok
        rotate 3

    postrotate
        chattr +a /var/log/messages
    endscript
}
[root@localhost logrotate.d]# /usr/sbin/logrotate /etc/logrotate.conf  #手动轮转
[root@localhost logrotate.d]# cd /var/log/
[root@localhost log]# ls mess*
messages  messages-20200805  messages-20200806

参数解释：
prerotate/endscript - 在转储以前需要执行的命令可以放入这个对，这两个关键字必须单独成行
postrotate/endscript - 在转储以后需要执行的命令可以放入这个对，这两个关键字必须单独成行

size
触发分割的条件是：1.日志大小达到这个值，和时间周期没有关系。
minsize
触发分割的条件是：1.时间周期到了，2.日志大小达到这个值；两个条件都要满足。
maxsize
触发分割的条件是：1.时间周期到了，2. 日志大小大于这个值；两个条件任何一个满足。

telnet

命令用于登录远程主机，对远程主机进行管理。telnet因为采用明文传送报文，安全性不好，很多Linux服务器都不开放telnet服务，而改用更安全的ssh方式了。
[root@linux-server ~]# telnet 192.168.246.156 80 #检查tcp连接80端口是否开放
Trying 192.168.246.156...
Connected to 192.168.246.156.  #如果出现这样那就是通了
Escape character is '^]'. 


telnet与ssh的区别：
telnet：不安全，没有对传输数据进行加密，容易被监听，还有遭受中间人攻击，telnet不能压缩传输数据，所以传输慢
ssh：对数据进行了加密，安全度高，ssh传输数据经过压缩，所以传输速度比较快