鸟哥的Linux私房菜10.25 登录档

第19章 认识与分析登录档

Linux常见的登录文件:

/var/log/cron:crontab排程的信息

/var/log/dmesg:系统开机时核心侦测过程所产生的各项信息

/var/log/lastlog:系统上所有账号最近一次登录系统信息

/var/log/maillog或/var/log/mail/*:记录邮件往来信息,主要是sendmail与dovecot所产生的信息。

/var/log/messages:系统所有的错误信息(或者是重要信息)

/var/log/secure:需要输入账号密码的软件的所有登录信息

/var/log/wtmp,/var/log/faillog:记录正确登录系统的用户信息和错误登录系统的用户信息

/var/log/httpd/*,/var/log/news/*,/var/log/samba/*:不同网络服务自己产生的信息

CentOS提供syslogd这个服务统一管理登录文件,klogd管理登录核心产生的各项信息,logrotate进行登录文件的轮替功能

------------------------------------------------------------------------------------

syslogd:记录登录文件的服务

检查是否设定为开机自启动   ps aux | grep syslog

作为系统管理员要经常查看登录文件的内容,尤其是当自己感觉系统不太正常、某个daemon老是无法正常启动,某个用户总是无法登录、某个daemon执行过程总是不顺畅时。

syslog的配置文件 : /etc/syslog.conf——其实是syslogd的配置文件,规定了服务名称、信息等级、信息记录的文件名或装置或主机

服务名称:

鸟哥的Linux私房菜10.25 登录档_第1张图片

信息等级:

鸟哥的Linux私房菜10.25 登录档_第2张图片

在信息等级之前还有【. = !】的链接符号,其代表意义是:

1.   "."代表“比后面还要高级的等级(含该等级)都被记录下来”

2.   “.="代表所需要等级就是后面接的等级,其他的都不用

3.   “.!"代表不等于,亦即是除了该等级外的所有等级都记录

信息记录的文件名或装置或主机:没什么好说的

syslog.conf语法练习

如果同时写好几个程序,那么每个程序间用分号隔开;额外记录的内容要另外写出来

自行增加登录文件

把自己的特殊文件记录在 /etc/syslog.conf 当中,可以方便管理

登录文件的安全性非常重要,可以通过设定登录文件成为“只可以增加数据,不能被删除”的状态,但是root被破解的话也毫无用处。

或者也可以利用 chattr 设定 +a  属性

如果主机数量比较多,查看登录文件的时候可以在某一个主机(作为服务器)上查看,该Linux主机上有一个埠口(UDP的514)用来监听所有客户端的登录文件。

服务器端鸟哥的Linux私房菜10.25 登录档_第3张图片

客户端

-----------------------------------------------------------------------------------------------------

登录文件的轮替(logrotate)

logrotate配置文件——存放在 /etc/logrotate.conf (主要) 和 /etc/logrotate.d

配置文件设定了默认的轮替状态,不过自己可以根据爱好修改啦

设定rotate,举个例子吧……

鸟哥的Linux私房菜10.25 登录档_第4张图片

执行脚本可以调用外部指令来进行额外的命令下达,该设定需要与 sharedscripts ... endscripts 合用。可用的环境包括:prerotate(在启动logrotate之前进行的指令)、postrotate(在做完logrotate之后启动的指令)。

实际测试 logrotate 的动作

自定义登录文件的轮替功能

1.首先建立+a这个属性,让root不能移动这个登录文件,2.建立 logrotate的配置文件,在 /etc/logrotate.d 内增加一个文件。

---------------------------------------------------------------------------------------------------

分析登录文件

logwatch——CentOS默认提供的登录文件分析工具

鸟哥写的登录档分析工具

http://linux.vbird.org/download/index.php?action=detail&fileid=69

你可能感兴趣的:(linux,centos,服务器,脚本,工具,破解)