linux系统日志:
功能:审计和监测。它还可以实时的监测系统状态,监测和追踪侵入者等等
日志对于安全来说,非常重要,它记录了系统每天发生的各种各样的事情,你可以通过它来检查错误发生的原因,或者受到攻击时,攻击者留下的痕迹。
“ /var/log ”是存放日志的位置,“ rsyslog ”负责采集日志和分类存放日志1.系统日志默认分类:
/var/log/messages 系统服务及日志,包括服务的信息,报错等等
/var/log/secure 系统认证信息日志
/var/log/maillog 系统邮件服务信息
/var/log/cron 系统定时任务信息
/var/log/boot.log 系统启动信息
日志设备(可以理解为日志类型):
auth pam产生的日志
authpriv ssh,ftp等登录信息的验证信息
cron 时间任务相关
kern 内核
lpr 打印
mail 邮件
mark(syslog)–rsyslog 服务内部的信息,时间标识
news 新闻组
user 用户程序产生的相关信息
uucp unix to unix copy, unix主机之间相关的通讯
local 1~7 自定义的日志设备
日志级别:
debug 有调式信息的,日志信息最多
info 般信息的日志,最常用
notice 最具有重要性的普通条件的信息
warning 警告级别
err 错误级别,阻止某个功能或者模块不能正常工作的信息
crit 严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert 需要立刻修改的信息
emerg 内核崩溃等严重信息
none 什么都不记录
连接符号:
.xxx: 表示大于等于xxx级别的信息
.=xxx:表示等于xxx级别的信息
.!xxx:表示在xxx之外的等级的信息
2.日志同步
配置文件为“ /etc/rsyslog_conf ”
日志同步就是将一台主机生成的日志发送到另一台主机的过程
接收日志方:关闭防火墙并查看:
输入“ vim /etc/rsyslog.conf ”进入配置文件,改为下图一样,“ :wq ”退出保存
输入“ systemctl restart rsyslog.conf ”重启服务
日志发送方:关闭防火墙并查看:
同样,“ vim /etc/rsyslog.conf ”进入配置文件,将接收方的ip添加至文件中,“ :wq ”保存退出
输入“ vim systemctl restart rsyslog ” 重启服务,两边都输入“ > /var/log/manages ”清空日志,日志发送方输入" logger test message ”产生日志,如图:
日志接收方,可输入“ cat /var/log/messages ”查看日志,如图:
由此可知,日志已经同步成功了。