syslog
v syslog是Linux系统默认的日志守护进程。默认的syslog配置文件是/etc/syslog.conf文件。syslog守护进程是可配置 的,它允许人们为每一种类型的系统信息精确地指定一个存放地点
v syslog守护进程要用到udp的514号端口。
v 日志记录了系统每天发生的各种各样的事情
v 日志主要的功能有:
§ 审计
§ 监测
§ 实时的监测系统状态
§ 监测和追踪侵入者
§ 日志的两个比较重要的作用是审核和监测。
常用的日志
v /var/log/btmp 记录登录未成功的用户 touch btmp 开启btmp并生成文件, lastb 查看未成功的登陆
v /var/log/wtmp 前一段时间所有人的登录日志 查last (最后一次正确登录)
v /var/run/utmp 当前系统的用户运行状态 相当于w和who这个命令 who -r
v /var/log/boot.log 引导日志/启动日志
v /var/log/boot.log.1 日志截断程序
v /var/log/dmesg 引导相关的硬件信息
v /var/log/lastlog 文件保存的是每个用户的最后一次登录的信息 用lastlog命令来读取
v /var/log/lprlog 打印机的一般性错误和严重的问题
v whoami=logname
syslog.conf的语法:
中间的分割符必须是TAB字符
选择域 动作域
服务的种类 . 优先级
emerg 优先级0,紧急信息
alert 优先级1,报警信息
crit 优先级2,临界信息
err 优先级3,错误信息
warn 优先级4,警告信息
notice 优先级5,通知性信息
info 优先级6,提示性信息
debug 优先级7,调试信息
none 不记录任何信息
authpriv 登录系统的信息
cron 计划任务的消息
deamon 各种常驻服务程序消息
kern 系统内核的状态消息
lpr 打印命令的消息
mail 电子邮件的消息
news 新闻服务器的消息
syslog Syslog内部消息
user 用户相关信息
local0~7 为本地使用保留
动作域
- 日志文件
- 远程主机
- 用户终端
v 选择条件本身分为两个字段,之间用一个小数点(.)分隔。前一字段是一项服务(书上叫设备),后一字段是一个优先级。
v 同一个syslog配置行上允许出现一个以上的选择条件,但必须用分号(;)把它们分隔开
*代表所有的的优先级
v 不同的服务类型有不同的优先级,数值较大的优先级涵盖数值较小的优先级
v 如果某个选择条件里的优先级是“warning”,它实际上将把“warning”、 “err”、“crit”、“alert”和“emerg”都包括在内
v syslog允许人们使用三种限定符对优先级进行修饰:星号(*)、等号(=)和叹号(!)。熟悉规则表达式的读者应该对这三种限定符不会感到陌生。星号 (*)的含义是“把本项服务生成的所有日志消息都发送到操作动作指定的地点”。
v 等号(=)的含义是“只把本项服务生成的本优先级的日志消息都发送到操作动作指定的地点”。
v 等号意味着等于且仅等于。叹号(!)的含义是“把本项服务生成的所有日志消息都发送到操作动作指定的地点,但本优先级的消息不 包括在内”。比如说,这条syslog配置行将把除info优先级以外的所有消息发送到/var/log/mail文件里:
mail.*;mail.!info/var/log/mail
“动作”选项告诉syslogd应该如何处理对应的消息:将它存入硬盘文件,显示在终端上,发送给某个用户或者转发给另外一台主机。下面是可用动作的一览:
文件名 写入某个文件,注意这里必须使用文件的绝对路径
@主机名 转发给另外一台主机上的syslogd程序
@IP地址 等价于@主机名,只是使用IP地址标志远程机器
用户列表 用逗号分开的用户列表,例如user1,user2表示如果user1 和 user2登录的话就把信息发送到他们的终端上
* 发送到所有用户的终端上
/dev/console 发送到本地机器的屏幕上
|程序 通过管道转发给某个程序
v auth.*;authpriv.* @locallog.yourdomain.com(ip)
#与身份认证有关的安全性信息,例如su(对应auth事件),发送到locallog.youredomain.com主机上记录下来
v 我们将一些信息发送到了locallog.yourdomain.com主机上,为此,locallog主机必须设置为可以接受来自网络的syslog信息,这可以用-r选项实现:
v 这样locallog主机就会监听网络记录所有来自其他机器的系统记录请求。
本文出自 “上善若水威加海内” 博客,转载请与作者联系!