默认日志存放路径
/var/log
常见日志
btmp 登陆失败信息日志(该文件过大可能有人在对你进行暴力破解)
lastlog 最近几次登陆和最后一次登陆失败日志
messages 从 syslog 记录信息日志
utmp 记录当前登陆的每一个用户日志
whmp 系统登陆情况日志
清空日志
> /var/log/file
日志种类
daemon 后台进程
kern 内核产生信息
lpr 打印系统产生
cron 定时相关
mail 邮件相关
news 新闻系统
syslog 日志服务本身
authpriv 安全认证
local0~7 自定义的日志设备
日志级别
由重到轻
emery 紧急,内核崩溃
alert 警报,需要立刻修改
crit 关键错误,已经影响到了整个的系统或者软件不能正常工作的信息
err 错误,阻止某个模块或者程序的功能不能正常使用
warning 警告
info 正常
debug 调试级别的信息
/etc/syslog.conf 配置文件
MODULES 日志的模块
$ModLoad imuxsock 支持本地系统日志的模块
$ModLoad imklog 支持内核日志的模板
$ModLoad immark 支持日志标记
$ModLoad imudp 支持udp协议
$ModLoad imtcp 支持tcp协议
$UDPServerRun 514 允许514端口接收使用udp和tcp协议转发过来的日志
mail、authpiv、cron存放位置
authpriv.* 认证的信息–>存放–> /var/log/secure
mail.* 邮件相关的信息->存放–> -/var/log/maillog
cron.* 计划任务相关的信息–>存放–> /var/log/cron
local7.* 开机时显示的信息–>存放–> /var/log/boot.log
日志输入规则
-info 高于info级别的信息全部都记录到某个文件里去
.= 仅记录等于某个级别的日志
.! 除了某个级别
.none 排除某个类别
日志切割 自定义ssh服务的日志
编辑rsyslog配置文件
[root@ localhost ~]# vim /etc/rsyslog.conf
63 local0.* /var/log/sshd.log
定义ssh服务日志级别
[root@ localhost ~]# vim /etc/ssh/sshd_config
36 SyslogFacility local0
重启rsyslog和sshd服务
[root@ localhost ~]# service rsyslog restart
[root@ localhost ~]# service sshd restart
查看是否生成日志
[root@ localhost ~]# more /var/log/sshd.log
Feb 18 15:35:13 localhost sshd[5311]: Server listening on 0.0.0.0 port 22.
Feb 18 15:35:13 localhost sshd[5311]: Server listening on :: port 22.
注释:时间——主机名——服务名——进程ID——端口
切割sshd.log日志
[root@ localhost ~]# vim /etc/logrotate.conf
/var/log/sshd.log { //指定要切割的日志文件
missingok //文件丢失不报错
monthly //每月轮换一次
create 0600 root utmp //设置日志文件的属主数组
minsize 10M //文件超过10M就切割
rotate 1 //日志切割后保留1份历史数据
}
强制切割
[root@ localhost ~]# logrotate –vf /etc/logrotate.conf