linux 的日志系统
 
作为一名系统管理员,我们不可能时时刻刻都在服务器旁边,而且也不可能为了保证服务器不被***,这时系统的日志就显得很重要了,可以通过分析日子检查系统的漏洞,提前预防和事后的修复。
系统在正常运行的日志主要有 syslog 进程来提供, syslog 又有 syslogd klogd 两部分组成,分别用来记录系统日志和内核日志。而在启动过程的日志有其他的机制来提供。日志系统的配置信息在 /etc/syslog.conf 。其中每行配置文件可分为两部分,有谁产生的信息,存放在那个地方。
对于产生的信息分了级别。可以通过 man syslog.conf 中显示。级别越高,记录的信息越少。
而存放信息的位置可分为以下几部分:
1.       /var/log/dmesg           记录开机时的硬件信息
2.       /var/log/message  默认的系统错误信息日志
3.       /var/log/maillog   邮件服务日志
4.       /var/log/secure           与安全有关及 xineted 相关日志
5.       /var/log/cudit/cudit.log    内核审计信息( aureport ausearch 专门查看)
对于 /etc/syslog.conf 的一行如:
        mail.*              -/var/log/maillog
分别表示: mail 产生的任意级别的信息都被异步的写入 /var/log/maillog 中。再如:
 *.info;mail.none;authpriv.none;cron.none      /var/log/messages
表示任何信息只要级别高于 info ,但除了 mail authpriv cron 的信息都被记录到 /var/log/message 中。
如果想要把日志记录到其他的主机中需要在本地主机中存储位置改为@192.168.0.100 IP 地址为专门提供日志记录的主机地址。同时还要在日志服务器中的 /etc/sysconfig/syslog 配置文件中将 SYSLOGD_OPTIONS="-m 0" 改为 SYSLOGD_OPTIONS="-r -m 0" 使其能够记录其他主机的日志。
 
以下为我做的日志服务器的几个抓图
客户机的配置和命令:

客户机执行的命令分别为:
1

2
 

客户机的 IP 为:
 

服务器的日志变化为:
对应第一个所得到的日志为
 

第二个命令得到的结果是:

以上为我做的结果!