1.日志管理基本介绍
日志文件是一个重要的系统文件,其中记录了好多重要的系统风波,包括用户的登入信息,系统的启动信息等。
2.日志文件保存的目录:/var/log/
日志文件
可以听到上面储存了许多日志文件,例如lastlog文件就是记录系统所有用户最后一次登陆的情况(注意这是一个二补码文件,直接输入lastlog打开)
lastlog文件信息
可以看见root用户最后登陆的时间是MonJul3104:36:43,而下边这些用户没有登陆过。
再例如auth.log文件(centos应当是secure文件),它记录了验证和授权方面的信息,只要涉及帐号和密码的程序就会记录在这儿,如系统的登陆,ssh的登陆,su切换用户等(所以有黑客功击首先查看这个文件)。这儿来一个实例:
先找到这个文件并打开
找到文件
打开发觉文件内容为空(刚才自动清空了)
现今退出登入,但是以错误密码登入系统
推出系统登陆
以错误密码登入系统
在一次以错误密码登入失败后以正确密码步入系统并找到auth.log文件,查看上面内容:
auth.log文件
可以发觉上面记录了登陆失败的日志信息。
注意:关于这个信息的剖析如下,共分为4列:
信息剖析
3.日志管理服务(这一点理论是这样的linux查看log日志命令linux伊甸园论坛,而且我自己的机器上没有搞成功,先写在这,待排查出问题后再说明)
日志管理服务和日志的关系:/var/log/下的那些日志文件是谁在记录?谁帮你把系统的这种信息记录到这种日志文件里去的?这就是rsyslogd这个服务干的事情,它是一个后台程序或则说是服务。问题,这个程序如何晓得将系统的什么风波记录到具体那个日志文件里去呢?在/etc/rsyslog.conf文件中记录了让rsyslogd去管理的日志有什么linux查看log日志命令,也就是说这个文件里记录了什么风波应当记录到那个日志文件中去。
日志原理图
做日志管理一定要确保rsyslogd服务是处于运行的状态,可以用psaux|grep”rsyslog”来查看是否服务早已运行
可以见到已运行
通常要将这个服务设置为开机自启动及随着系统的启动而启动。
4.日志管理服务的应用实例(这个实例在Ubuntu上做没有成功,应当是和Centos稍有区别)
现今来做一个实例,在/etc/rsyslog.conf中添加一个日志文件/var/log/hsf.log,当有风波发生时例如sshd相关风波该文案金会收到信息并保存
要做的是在/etc/rsyslog.conf中添加一条说明linux系统命令,告诉它当有指定的风波发生的时侯由rsyslog服务将信息讲到/var./log/hsf.log里去
/etc/rsyslog.conf添加说明
再创建hsf.log文件
创建文件
查看内容为空
空内容
重启系统
重启
由于刚才设置的是*.*,因而重启风波,登陆风波等就会记录到hsf.log中去。再查看hsf.log文件。
—————————————-换Centos——————————————————————-
添加说明
创建成功
查看为空
重启系统reboot-f
查看hsf.log文件
hsf.log文件内容
可以看见上面新添了内容。
日志先记录如此多,虽然不是重点!!