一、概述
Linux系统中,记录日志非常重要,将系统和应用发生的使用记录到日志中,以有助于排错和分析使用。日志记录的内容包括历史事件例如时间、主机名、事件等和日志级别,决定了事件的关键性程度。
二、常用系统日志存储目录
/var/log/secure:存储系统安全、认证授权等日志,记录用户登录等信息,是文本格式,用cat、tail等命令查看;
/var/log/btmp:存储当前系统用户登录失败的日志信息,是二进制格式,用命令lastb
查看;
/var/log/wtmp:存储当前系统用户正常登录的日志信息,是二进制格式,用命令last
查看;
/var/log/lastlog:存储每一个用户最近一次的登录信息,是二进制格式,用命令lastlog
查看;
/var/log/messages :存储系统中大部分系统日志信息,是文本格式,用cat、tail等命令查看;
三、rsyslog 系统日志服务
rsyslog负责从内存中采集日志记录并存储到文件(硬盘)中,rsyslog可以用systemctl 控制,其命令位置在 /usr/sbin/rsyslogd, rsyslog的配置文件位置在 /etc/rsyslog.conf 。
rsyslog特点:多线程,速度快;支持多种协议;支持多种数据库;自定义输出格式;适用于小型企业。
四、日志类型和日志等级
五、ssh服务单独实现日志管理实验
1、关闭防火墙和核心安全机制
2、修改sshd 的配置文件
3、修改rsyslog的配置文件
4、重启rsyslog.service 和 sshd 服务
5、测试
六、远程日志功能实验
1、关闭防火墙和核心安全机制
2、编辑服务端配置文件
3、编辑客户端配置文件
4、测试