日志用于记录系统和程序事件,帮助诊断故障。内核及系统日志由rsyslog管理,用户日志记录登录信息。日志通常保存在/var/log目录下,包括内核、用户和程序日志。日志管理涉及备份、归档、权限控制,保留时间根据业务需求定制。实验展示了如何配置日志服务器进行集中管理和分析。
目录
日志的功能
用于记录系统,程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
日志文件的分类
内核及系统日志
由系统服务rsyslog统一进行管理,日志格式基本相似
主配置文件/etc/rsyslog.conf
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
日志保存位置
默认位于: /var/log目录下
主要志文件介绍
| 内核及公共消息日志 | /var/log/messages 主要就是这 |
| 计划任务日志 | Ivar/log/cron |
| 系统引导日志 | /var/log/dmesg |
| 邮件系统日志 | /var/log/maillog |
| 用户登录日志 | /var/log/lastlog /var/log/secure /var/log/wtmp /var/run/btmp |
用户日志分析
保存了用户登录、退出系统等相关信息
| /var/log/lastlog | 最近的用户登录事件 |
| /var/log/wtmp | 用户登录、注销及系统开、关机事件 |
| /var/run/utmp | 当前登录的每个用户的详细信息 |
| /var/log/secure | 与用户验证相关的安全性事件 |
日志管理策略
及时作好备份和归档
延长日志保存期限
控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
内核及系统日志
| 级号 | 消息 | 级别 | 说明 |
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能会影响系统功能的事件 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意 |
| 6 | INFO | 消息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
设备字段说明:
| auth | 用户认证时产生的日志 |
| authpriv | ssh、ftp等登录信息的验证信息 |
| daemon | 一些守护进程产生的日志 |
| ftp | ETP产生的日志 |
| lpr | 打印相关活动 |
| mark | rsyslog服务内部的信息,时间标识 |
| news | 网络新闻传输协议 (nntp) 产生的消息。 |
| syslog | 系统日志 |
| uucp | Unix-to-Unix copy 两个unix之间的相关通信 |
| console | 针对系统控制制台的消息。 |
| cron | 系统执行定时任务产生的日志。 |
| kern | 系统内核目志 |
| loca10~local7 | 自定义程序使用 |
| 邮件日志 | |
| user | 用户进程 |
日志保留时间
1、程序的日志,一般只保留当天,一般留个2天左右 http,nginx
2、数据日志,数据库,最少要保留半年
3、用户信息日志,永久保存
4、企业根据业务需要,自定义的保留时间
更改日制
1、改配置文件,注意一点,改错了即时退出,不要保存
2、复制粘贴不要轻易使用
3、有格式规范,大小写和标点符号都要注意,新配置是不生效的
5、只针对我们实验环境: 关防火墙和安全机制
集中管理日志
将服务器的日志文件发到统一的志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除
实验一、将ssh服务日志单独存放
local6 自定义日志
更改配置
#添加这一行,可以复制粘贴,必须要大写
查看服务器
实验二、配置日志服务器来收集日志
第一步 xshell 第一排 点击查看
1.撰写 2. 撰写拦
3. 左下角 小方框 点击 全部会话
在下面输入关闭防火墙 0号机和1号机都可关闭了
54 加上#号
55 就是把上面那行复制下来 在后面机上@@192.168.158.3加上第二台主机的地址
这样就完成1号机也收到消息了
扫一扫
191
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
