目录
日志的功能
用于记录系统,程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
日志文件的分类
内核及系统日志
由系统服务rsyslog统一进行管理,日志格式基本相似
主配置文件/etc/rsyslog.conf
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
日志保存位置
默认位于: /var/log目录下
主要志文件介绍
内核及公共消息日志 | /var/log/messages 主要就是这 |
计划任务日志 | Ivar/log/cron |
系统引导日志 | /var/log/dmesg |
邮件系统日志 | /var/log/maillog |
用户登录日志 | /var/log/lastlog /var/log/secure /var/log/wtmp /var/run/btmp |
用户日志分析
保存了用户登录、退出系统等相关信息
/var/log/lastlog | 最近的用户登录事件 |
/var/log/wtmp | 用户登录、注销及系统开、关机事件 |
/var/run/utmp | 当前登录的每个用户的详细信息 |
/var/log/secure | 与用户验证相关的安全性事件 |
日志管理策略
及时作好备份和归档
延长日志保存期限
控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
内核及系统日志
级号 | 消息 | 级别 | 说明 |
0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
2 | CRIT | 严重 | 比较严重的情况 |
3 | ERR | 错误 | 运行出现错误 |
4 | WARNING | 提醒 | 可能会影响系统功能的事件 |
5 | NOTICE | 注意 | 不会影响系统但值得注意 |
6 | INFO | 消息 | 一般信息 |
7 | DEBUG | 调试 | 程序或系统调试信息等 |
设备字段说明:
auth | 用户认证时产生的日志 |
authpriv | ssh、ftp等登录信息的验证信息 |
daemon | 一些守护进程产生的日志 |
ftp | ETP产生的日志 |
lpr | 打印相关活动 |
mark | rsyslog服务内部的信息,时间标识 |
news | 网络新闻传输协议 (nntp) 产生的消息。 |
syslog | 系统日志 |
uucp | Unix-to-Unix copy 两个unix之间的相关通信 |
console | 针对系统控制制台的消息。 |
cron | 系统执行定时任务产生的日志。 |
kern | 系统内核目志 |
loca10~local7 | 自定义程序使用 |
邮件日志 | |
user | 用户进程 |
日志保留时间
1、程序的日志,一般只保留当天,一般留个2天左右 http,nginx
2、数据日志,数据库,最少要保留半年
3、用户信息日志,永久保存
4、企业根据业务需要,自定义的保留时间
更改日制
1、改配置文件,注意一点,改错了即时退出,不要保存
2、复制粘贴不要轻易使用
3、有格式规范,大小写和标点符号都要注意,新配置是不生效的
5、只针对我们实验环境: 关防火墙和安全机制
集中管理日志
将服务器的日志文件发到统一的志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除
实验一、将ssh服务日志单独存放
local6 自定义日志
更改配置
#添加这一行,可以复制粘贴,必须要大写
查看服务器
实验二、配置日志服务器来收集日志
第一步 xshell 第一排 点击查看
1.撰写 2. 撰写拦
3. 左下角 小方框 点击 全部会话
在下面输入关闭防火墙 0号机和1号机都可关闭了
54 加上#号
55 就是把上面那行复制下来 在后面机上@@192.168.158.3加上第二台主机的地址
这样就完成1号机也收到消息了