浅谈日志系统

今天，我们浅谈一下日志系统。

日志对于安全来说，非常重要，它记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志主要的功能有：审计和监测。他还可以实时的监测系统状态，监测和追踪侵入者等等。本专题收集了有关Linux日志管理相关的基础介绍和技巧、工具介绍，帮助Linux系统管理员们掌握日志的使用。

 

 接下来，我们在虚拟机中试验一下。

首先，将我们/mnt/cdrom挂载到/dev/cdrom。然后进入/mnt/cdrom/Server目录下，

mount /dev/cdrom /mnt/cdrom

cd /mnt/cdrom/Server

查看安装的日志相关的信息

rpm –qa |grep log

查看sysklogd安装具体形成的文件

rpm –ql sysklogd |less

可以看出其控制脚本/etc/rc.d/init.d/syslog及其状态

chkconfig –list |grep log

service syslog status

用dmesg查看硬件相关信息，如

查看内存dmesg |grep -i mem

查看cpu： dmesg |grep -i cpu

同样还可以查看usb，pci等相关信息，我们这里就不一一查看了。

syslogd会将我们软件所产生的日志分类

查看其配置文件，或者说是软件方面的增类信息

vim /etc/syslog.con

如上图所示，左边部分为选择，右边为动作。左右两边用多个空格隔开。而选择当中又用‘;’进行分隔，每两个分号之间为一项，而每一项当中又分为两类，第一类标示一种服务（facility），第二类表示优先级(priority)，如第七行中的“mail.none”，‘mail’表示服务，‘none’表示优先级。

 

 

查看日志信息，(追加方式，一般都是显示在最后面)

tail /var/log/messages

我们加上‘-f’显示动态信息

tail -f /var/log/messages

我们可以拉住最后一行，这样当有优先级大雨或等于info级的时候，我们可以直接看到其更新的信息：

日志文件还有助于我们排错，特别是一些我们不易察觉的错误。

假设我们直接拷贝文件，命名为named.conf

那么它能执行，启动这个服务吗？

我们来试试看：

我们发现启动失败，那么原因呢？

我们去查看我们的日志：

从日志里可以看出是因为我们的权限问题。

知道错误的地方了，那么我们便可以对症下药了：

Chgrp named named.conf

然后再去启动服务，我们便发现可以启动了：

同时查看日志信息：

由此，我们便可以直面的了解日志对于我们的学习及实际工作中的重要作用。