1.1 基本介绍
1、日志文件是重要的系统信息文件,其中记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。
2、日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。
3、日志是用来记录重大事件的工具。
1.2 系统常用的日志
1.2.1 查看系统日志
1、系统日志文件的保存位置:/var/log
2、系统常用的日志
日志文件 | 具体作用 |
---|---|
/var/log/boot.log | 系统启动日志 |
/var/log/cron | 记录与系统定时任务相关的日志 |
/var/log/cups/ | 记录打印信息的日志 |
/var/log/dmesg | 记录系统在开机时内核自检的信总,也可以使用dmesg命令直接查看内核自检信息 |
/var/log/btmp | 记录错误登录的日志,这个文件是二进制,不能直接用vi 查看,而要使用lastb 命名查看。命令如下[root@localhost log]#lastb |
/var/log/lasllog | 记录系统中所有用户最后一次的登录时间的日志,这个文件也是二进制文件,要使用lastlog 命令查看。 |
/var/Iog/mailog | 记录邮件信息的日志。 |
/var/log/message | 记录系统重要消息的日志,这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题,首先要检查的应该就是这个日志文件。 |
/var/log/secure | 记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录,比如系统的登录、ssh的登录、su切换用户、sudo授权。甚至添加用户和修改用户密码都会记录在这个日志文件中。 |
/var/log/wtmp | 永久记录所有用户的登录,注销信息,同时记录系统的后动、重启、关机事件。是二进制文件,而要使用last 命令查看。 |
/var/tun/ulmp | 记录当前已经登录的用户信息,这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息,这个文件不能用vi 查看,而要使用w、who、user等命令查看。 |
1.2.2 案例实现
使用 root 用户通过 xshell登陆, 第1、2次使用错误的密码,第3次使用正确的密码登录成功。
1、先进入log日志目录cd /var/log
,清空以前日志。。。
2、查看日志文件/var/log/secure 里有没有记录相关信息。
1.3 日志管理服务 rsyslogd
1.3.1 原理示意图
CentOS7.x日志服务是 rsyslogd
, CentOS6.x 日志服务是 syslogd
。rsyslogd
功能更强大,rsyslogd
的使用、日志文件的格式,和 syslogd
服务兼容的。