linux日志
默认保存与/var/log/目录下
主要日志文件分析
内核及公共消息日志 /var/log/messages
一般格式:时间标签 主机名 子系统名 消息字段
计划任务日志: /var/log/cron
系统引导日志: /var/log/dmesg
邮件系统日志; /var/log/maillog
用户登录日志: /var/log/lastlog
记录用户认证相关安全事件: /var/log/secure
记录每个用户登录,注销及系统启动和停机的事件:/var/log/wtmp
记录失败的错误的登录尝试及验证事件 /var/run/btmp
注:有的日志文件不是文本文件(wtmp,utmp,lastlog),需要调用特定的日志消息查看器
分析工具:users,who,last,lastb
内核及系统日志
由系统服务rsyelogd统一管理
主要程序 :/sbin/rsyslogd
配置文件: /etc/rsyslog.conf
配置文件格式
设备名.日志级别 日志存放位置
日志消息的级别
0 EMERG(紧急):会导致主机系统不可用
1 ALERT(警告):必须马上采取措施解决问题
2 CRIT(严重): 比较严重的情况
3 ERR(错误): 运行出现错误
4 WARNING(提醒) : 可能会影响系统功能
5 NOTICE(注意) : 不会影响系统,但是值得注意
6 INFO(信息) : 一般信息
7 DEBUG(调试) : 程序或系统调试
程序日志
web服务:/var/log/httpd
access_log error_log
代理服务:/var/log/squid/
access.log cache.log squid.out store.log
FTP服务:/var/log/xferlog
分析工具:文本查看器,grep过滤检查,Webmin管理套件中查看
awk,sed等
Webalizer Awstats等专用日志分析工具
日志管理策略
及时做好备份和归档
延长日志保存期限
控制日志访问权限
日志中可能包含敏感信息
集中管理日志
将服务器日志文件统一到日志服务器
便于整理日志信息的统一收集整理和分析
杜绝日志的意外丢失 恶意篡改或删除