基本介绍
(1)日志文件是重要的系统信息文件,其中记录了许多重要的系统事件,包括用户的登录信息,系统的启动信息,系统的安全信息,邮件相关信息,各种服务相关信息等
(2)日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因,或者受到攻击时,攻击者留下的痕迹
(3)日志是用来记录重大事件的工具
系统常用日志
/var/log/ 目录就是系统日志文件的保存位置
日志管理服务 rsyslogd
CentOS7.6日志服务是 rsyslogd , CentOS6.x日志服务是syslogd,rsyslogd功能更强大,rsyslogd的使用,日志文件的格式,和syslogd服务兼容的
- 查询linux中的 rsyslogd服务是否启动
ps aux | grep “rsyslog” | grep -v “grep” - 查询rsyslogd服务的自启动状态
systemctl list-unit-files | grep rsyslog
配置文件: /etc/rsyslog.conf
编辑文件时的格式为: * . * 存放日志文件
其中第一个代表日志类型
第二个代表日志级别
1.日志类型分为:
日志类型 | 说明 |
---|---|
auth | pam产生的日志 |
authpriv | ssh,ftp等登录信息的验证信息 |
corn | 时间任务相关 |
kern | 内核 |
lpr | 打印 |
邮件 | |
mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
news | 新闻组 |
user | 用户程序产生的相关的信息 |
uucp | unix to nuix copy主机之间相关的通信 |
local 1-7 | 自定义的日志设备 |
日志级别 | 说明 |
---|---|
debug | 有调式信息的,日志通信最多 |
info | 一般信息日志,最常用 |
notice | 最具有重要性的普通条件的信息 |
warning | 警告级别 |
err | 错误级别 |
crit | 严重级别 |
alert | 需要立刻修改的信息 |
emerg | 内核崩溃等重要信息 |
none | 什么都不记录 |
注意:从上到下,级别从低到高,记录信息越来越少
- 由日志服务rsyslogd记录的日志文件,日志文件的格式包含以下4列:
事件产生的事件
产生事件的服务器的主机名
产生事件的服务名或程序名
事件的具体信息 - 日志如何查看实例
查看一下 /var/log/secure日志,这个日志中记录的是用户验证和授权方面的信息,来分析如何查看
日志轮替
基本介绍
日志轮替就是把旧的日志文件移动并改名,同时建立新的空日志文件,当旧日志文件超出保存的范围之后,就会进行删除
日志轮替文件命名
#logrotate 配置文件
参数说明
把自己的日志加入日志轮替
日志轮替机制原理
日志轮替之所以可以在指定的时间备份日志,是依赖系统定时任务.在/etc/cron.daily目录,就会发现这个目录中是有logrotate文件(可执行),logrotate通过这个文件依赖定时任务执行
查看内存日志