日志管理:
日志的作用:排错,追溯事件,统计流量,审计安全行为。
小知识:只要在服务器上操作就会留下痕迹
日志的配置文件:/etc/rsyslog.conf
rsyslog.d 子配置文件
日志:
二进制日志文件: wtmp 当前登录用户 ,日志需要用w查看
btmp 最近登录用户 命令:last lastog:
所有用户登录信息 命令:lastlog
常见的日志文件: ls /var/log/
tail -f /var/log/messages //动态查看日志文件的尾部
tail -f /var/log/secure //认证、安全
tail /var/log/cron //crond、at进程产生的日志
tail /var/log/yum.log //yum
如何创建一个自定义日志:
1环境;用系统自带服务 ssh 服务 日志默认存放 secure
自定义一个日志文件,单独存放ssh服务所产生的日志
第一步:修改ssh的配置文件:/etc/ssh/sshd_config
1 vi /etc/ssh/sshd_config
把 SyslogFacility AUTHPRIV 后面更改名字 我们这里更改的名称时local
第二部去修改日志配置文件 /etc/rsyslog.conf
1 vi /etc/rsyslog.conf
添加local5.* /var/log/qfsshd.log(名字可以更改)
最后重启服务systemctl restart sshd rsyslog