系统登录档配置及分析

系统登录档配置及分析

系统登录档的作用就是记录系统活动信息的几个档案，包括何时、何地、何人、做了什么样的动作。

系统软件信息的记录会由syslogd这个服务完成；内核信息会由klogd服务来记录。

linux常见的登录档文件名：

/var/log/cron：记录工作排程的相关信息

/var/log/dmesg：记录系统在开机时核心侦测硬件的相关信息

/var/log/mail/*：记录邮件来往的信息

/var/log/messages：记录各种信息，非常重要！

/var/log/secure：涉及到输入账号密码的程序信息

/var/log/wtmp   /var/log/failog：记录登录成功或者失败的信息

syslod服务的配置文件/etc/syslog.conf

这个档案的每一行都规定了一个记录，通常有三个参数 1、什么服务 2、什么等级信息  3、记录在哪里

服务类别有以下几种：auth   cron   deamon   kern   lpr   mail  news  syslog  user  uucp  local0—local7

信息等级有以下几种：info   notice   warn   err   crit   alert   emerg  

登录档一般需要定时更新一下，所以需要logrotate这个程序，这个程序有配置文件，/etc/logrotate.conf以及/etc/logrotate.d/    其中第一个是主配置文件，第二个是一个目录，作为一些细部设定的补充。

/etc/logrotate.conf这个档案规定多长时间更新或者档案大小超过某一个值就更新；档案存在几个之后最后那个档案就会被删除；是否需要将档案压缩。

/etc/logrotate.d/ 这个目录下创建的文件也可以规定主配置文件中的那些参数，而且还可以按照固定格式写脚本来进行控制。

logrotate仅仅是一支程序，想要它执行的话我们可以将它写进cron中，这样它就会自动执行。

对于登录档分析来说，系统自带logwatch软件每天分析一次并将结果发给root，我们也可以自己写脚本来分析登录档。

注意：

1、登录档如果用vi编辑过那么就会停止工作，除非重新启动服务；

2、登录档一般有隐藏属性a，用chattr设定，表示只可以系统增加不可以修改，删除；

3、/etc/logrotate.d/目录下的配置文件中可以加入脚本，要有固定的格式。

          sharedscripts

          prerotate或者postrotate

               下面写脚本

          endscripts

prerotate代表在更新登录档之前需要做的事情，也就是下面脚本实现的功能，二postrotate则是更新之后需要做的事情。一般在更新前去掉登录档a这个隐藏属性，这样才能更新，更新后加上a属性。

4、我们可以通过配置/etc/sysconfig/syslog文件来讲主机设置成为登录档服务器（udp的514端口），这样其他客户端就可以通过在/etc/syslog.conf中一句命令的设置将登录档发送给本机了。

5、syslogd为super  deamon的机制；而logrotate则是透过crontab来执行的一个指令而已。