一个系统的是否安全是否出现了问题,或者说如果出现问题但是找不到原因的时候,第一想到的就是log 所以日志的管理和怎么看是很重要的。


日志管理;

系统日志配置文件 /etc/syslog.conf

启动日志 service syslog restart


日志配置:

AAAAA.BBBBBCCCCC


AAAAA 产生日志的对象

mail 邮件服务

authpriv 验证

cron 计划任务

uucp uucp子系统

news 新闻系统


BBBBB 日志级别 8个级别

debug 调试日志

info 一切正常

notice 稍微注意

warning 警告信息

err 错误信息

crit 危机信息

alert 必须注意信息

emerg (panic) 紧急信息


表示方法

mail.err err级别以上所有的信息

mail.=err 只要err级别信息

mail.!=err 除了err级别全部都要


CCCCC 保存日志的位置

1.保存到文件里

*.info;mail.none;authpriv.none;cron.none /var/log/messages

2.发送个终端

*.info;mail.none;authpriv.none;cron.none /dev/pts/3

3.发送给某个用户

*.info;mail.none;authpriv.none;cron.none robin




日志集中管理

服务端


vim /etc/sysconfig/syslog

# -m 0 disables 'MARK' messages. 关闭MIK信息

# -r enables logging from remote machines 开始远程日志

# -x disables DNS lookups on messages recieved with -r 关闭DNS解析

# See syslogd(8) for more details

SYSLOGD_OPTIONS="-m 0 -r -x"


service syslog restart




客户端

/etc/syslog.conf

*.info;mail.none;authpriv.none;cron.none @192.168.1.2

service syslog restart


----------------------------------------


vim /etc/syslog.conf 日志类型存放的目录主配置文件

vim /etc/sysconfig/syslog 设置日志的集中管理主配置文件

/var/log/ 日志目录

日志轮转 logrotate 切割日志信息

vim /etc/logrotate.conf 日志乱转主配置文件

/etc/logrotate.d 日志的乱转的所有配置文件





日志轮转

配置文件 /etc/logrotate.conf

/etc/logrotate.d/

创建日志文件

touch /var/log/test.log

配置该日志轮转配置文件

touch /etc/logrotate.d/test

vim /etc/logrotate.d/test

/var/log/test.log {

missingok:丢失不报错

size 30k:大小30k

daily:按天切割

rotate 7:保留7份

create 0777 root root

}


logrotate -f /etc/logrotate.d/test

logrotate -f /etc/logrotate.conf


如果不用-f强制切割,修改系统时间测试