[000-01-001].第13节:Linux中的日志管理

于 2024-08-01 11:43:29 发布
阅读量928 收藏 11
点赞数 10
分类专栏: [000-01].Java笔记 文章标签: linux 服务器 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43783284/article/details/140838864
版权

1.初识日志:

1.1.日志的基本介绍

  • 1.日志文件是重要的系统信息文件,其中记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。
  • 2.日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。
  • 3.可以这样理解 日志是用来记录重大事件的工具

1.2.系统常用的日志

  • 1./var/log/ 目录就是系统日志文件的保存位置,如下图:
    在这里插入图片描述

1.3.系统常用日志:

  • 1.各日志所在目录及其含义:
    在这里插入图片描述
  • 2./bar/log/lastlog目录下文件不可以使用cat命令查看,因为他是二进制文件,可直接输入lastlog命令查看
    在这里插入图片描述

1.4.应用案例

  • 1.使用 root 用户通过 xshell6 登陆, 第一次使用错误的密码,第二次使用正确的密码登录成功看看在日志文件/var/log/secure 里有没有记录相关信息
    在这里插入图片描述

2.日志服务配置文件:

2.1.日志管理服务与日志的关系:

  • 1.CentOS7.6 日志服务是 rsyslogd , CentOS6.x 日志服务是 syslogd
  • 2.rsyslogd 功能更强大。rsyslogd 的使用、日志文件的格式,和 syslogd 服务兼容的。原理示意图
    在这里插入图片描述
  • 3.查询 Linux 中的 rsyslogd 服务是否启动:ps aux | grep "rsyslog" | grep -v "grep" ,这里的-v就是反向匹配的意思
    在这里插入图片描述
  • 4.查询 rsyslogd 服务的自启动状态:systemctl list-unit-files | grep rsyslog
    在这里插入图片描述

2.2.配置文件配置:

a.配置文件说明:

  • 1.配置文件位置:/etc/rsyslog.conf
  • 2.编辑文件时的格式为: *.* 存放日志文件;其中第一个*代表日志类型,第二个*代表日志级别

c.日志级别分为:

  • debug ##有调试信息的,日志通信最多
  • info ##一般信息日志,最常用
  • notice ##最具有重要性的普通条件的信息
  • warning ##警告级别
  • err ##错误级别,阻止某个功能或者模块不能正常工作的信息
  • crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
  • alert ##需要立刻修改的信息
  • emerg ##内核崩溃等重要信息
  • none ##什么都不记录

注意:从上到下,级别从低到高,记录信息越来越少

b.日志类型分为:

  • auth ##pam 产生的日志
  • authpriv ##ssh、ftp 等登录信息的验证信息
  • corn ##时间任务相关
  • kern ##内核
  • lpr ##打印
  • mail ##邮件
  • mark(syslog)-rsyslog##服务内部的信息,时间标识
  • news ##新闻组
  • user ##用户程序产生的相关信息
  • uucp ##unix to nuix copy 主机之间相关的通信
  • local 1-7 ##自定义的日志设备

2.3.日志文件查看:

a. 记录的日志文件的格式

日志服务 rsyslogd 记录的日志文件,日志文件的格式包含以下 4 列

  • 事件产生的时间
  • 产生事件的服务器的主机名
  • 产生事件的服务名或程序名
  • 事件的具体信息

b.日志如何查看实例

  • 1.查看一下 /var/log/secure 日志,这个日志中记录的是用户验证和授权方面的信息 来分析如何查看
    在这里插入图片描述

c.日志管理服务应用实例:

  • 1.在/etc/rsyslog.conf 中添加一个日志文件/var/log/hsp.log,当有事件发送时(比如 sshd 服务相关事件),该文件会接收到信息并保存:
    在这里插入图片描述
  • 2.然后去重新登录centos7后再去查看是否有数据记录到hsp.log文件中:
    在这里插入图片描述
  • 3.查看hsp.log文件:
    在这里插入图片描述

3.日志轮替:

3.1.日志轮替基本介绍

  • 1.日志轮替就是把旧的日志文件移动并改名,同时建立新的空日志文件,当旧日志文件超出保存的范围之后,就会进行删除

3.2.日志轮替文件命名规则

  • 1.centos7 使用 logrotate 进行日志轮替管理,要想改变日志轮替文件名字,通过 /etc/logrotate.conf 配置文件中dateext参数
  • 2.如果配置文件中有“dateext”参数,那么日志会用日期来作为日志文件的后缀,例如 “secure-20201010”。这样日志文件名不会重叠,也就不需要日志文件的改名, 只需要指定保存日志个数,删除多余的日志文件即可。
  • 3.如果配置文件中没有“dateext”参数,日志文件就需要进行改名了。当第一次进行日志轮替时,当前的“secure”日志会自动改名为“secure.1”,然后新建“secure”日志, 用来保存新的日志。当第二次进行日志轮替时,“secure.1”会自动改名为“secure.2”, 当前的“secure”日志会自动改名为“secure.1”,然后也会新建“secure”日志,用来保存新的日志,以此类推。

3.3 logrotate 配置文件:

a. /etc/logrotate.conf 为 logrotate 的全局配置文件

# rotate log files weekly, 每周对日志文件进行一次轮替
weekly
# keep 4 weeks worth of backlogs, 共保存 4 份日志文件,当建立新的日志文件时,旧的将会被删rotate 4
 # create new (empty) log files after rotating old ones, 创建新的空的日志文件,在日志轮替后create
# use date as a suffix of the rotated file, 使用日期作为日志轮替文件的后缀
dateext
# uncomment this if you want your log files compressed, 日志文件是否压缩。如果取消注释,则日志会在转储的同时进行压缩
#compress
#RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# 包含 /etc/logrotate.d/ 目录中所有的子配置文件。也就 是说会把这个目录中所有子配置文件读取进来,#下面是单独设置,优先级更高。
# no packages own wtmp and btmp -- we'll rotate them here
/var/log/wtmp {
	monthly # 每月对日志文件进行一次轮替
	create 0664 root utmp # 建立的新日志文件,权限是 0664 ,所有者是 root ,所属组是utmp 组minsize 1M # 日志文件最小轮替大小是 1MB 。也就是日志一定要超过 1MB 才会轮替,否则就算时间达到一个月,也不进行日志转储
	rotate 1 # 仅保留一个日志备份。也就是只有 wtmp 和 wtmp.1 日志保留而已
}
/var/log/btmp {
	missingok # 如果日志不存在,则忽略该日志的警告信息
	monthly
	create 0600 root utmp
	rotate 1
}

b.参数说明

  • daily 日志的轮替周期是每天
  • weekly 日志的轮替周期是每周
  • monthly 日志的轮替周期是每月
  • rotate 数字 保留的日志文件的个数。0 指没有备份
  • compress 日志轮替时,旧的日志进行压缩
  • create mode owner group 建立新日志,同时指定新日志的权限与所有者和所属组。
  • mail address 当日志轮替时,输出内容通过邮件发送到指定的邮件地址。missingok 如果日志不存在,则忽略该日志的警告信息
  • notifempty 如果日志为空文件,则不进行日志轮替
  • minsize 大小 日志轮替的最小值。也就是日志一定要达到这个最小值才会轮替,否则就算时间达到也不轮替
  • size 大小 日志只有大于指定大小才进行日志轮替,而不是按照时间轮替。dateext 使用日期作为日志轮替文件的后缀
  • sharedscripts 在此关键字之后的脚本只执行一次。
  • prerotate/endscript 在日志轮替之前执行脚本命令。
  • postrotate/endscript 在日志轮替之后执行脚本命令。

c.把自己的日志加入日志轮替:

c1.实现方案:
  • 1.第一种方法是直接在/etc/logrotate.conf 配置文件中写入该日志的轮替策略
  • 2.第二种方法是在/etc/logrotate.d/目录中新建立该日志的轮替文件,在该轮替文件中写入正确的轮替策略,因为该目录中的文件都会被“include”到主配置文件中,所以也可以把日志加入轮替。

推荐使用第二种方法,因为系统中需要轮替的日志非常多,如果全都直接写 入/etc/logrotate.conf 配置文件,那么这个文件的可管理性就会非常差,不利于此文件的维护

c2.命令实现:
  • 1.先在/etc/logrotate.d/ 配置轮替文件一览
    在这里插入图片描述
  • 2.基于第二种方直接在 /etc/logrotate.d/ 下创建文件 hsplog 编写如下内容,

在这里插入图片描述
在这里插入图片描述

  • 3.具体轮替的效果 可以参考 /var/log 下的 boot.log 情况.

3.4.日志轮替机制原理

  • 1.日志轮替之所以可以在指定的时间备份日志,是依赖系统定时任务。在 /etc/cron.daily/目录,就会发现这个目录中是有 logrotate 文件(可执行)
    在这里插入图片描述

  • 2.logrotate 通过这个文件依赖定时任务执行的
    在这里插入图片描述

4.查看内存日志:

4.1.内存日志查看命令:

journalctl 可以查看内存日志, 这里我们看看常用的指令

  • 1.journalctl ##查看全部
  • 2.journalctl -n 3 ##查看最新 3 条
  • 3.journalctl --since 19:00 --until 19:10:10 #查看起始时间到结束时间的日志可加日期
  • 4.journalctl -p err ##报错日志
  • 5.journalctl -o verbose ##日志详细内容
  • 6.journalctl _PID=1245 _COMM=sshd ##查看包含这些参数的日志(在详细日志查看)或者 journalctl | grep sshd

注意: journalctl 查看的是内存日志, 重启清空

4.2.演示案例:

  • 1.使用 journalctl | grep sshd 来看看用户登录清空, 重启系统,再次查询,看看日志有什么变化没有
    在这里插入图片描述
1.01^1000
关注
专栏目录
Java学习笔记之十一:创建maven项目报错Could not resolve archetype org.apache.maven.archetypes:maven-archetype-quick
mxg1120的博客
12-07 1320
不是第一次创建maven项目了,但是前面两次都没错,这次报错了 报错的截图类似于下图这个(当时我忘记截图了,抄的别人的图) 点开日志: Could not resolve archetype org.apache.maven.archetypes:maven-archetype-quickstart:1.1 from any of the configured repositories. Could not resolve artifact org.apache.maven.archetypes:mave
12_Linux日志管理
ahutdbx的博客
01-14 148
Linux 日志管理 1. 日志管理简介 1.1 日志服务 在CentOS 6.x日志服务已经由rsyslogd取为代了原先的syslogd服务。rsyslogd日志服 务更加先进,功能更多。但是不论该服务种程的使用,还是日志文件的格式其实都是和 syslogd服务相兼容的,所以学习起来基本习出惯和syslogd服务一致。 rsyslogd的新特点 基于TCP网络协议传输日志信息 更安全的网络传输方式 有日志消息的及时分析框架 后台数据库 配置文件可以写简单的逻辑判断 与syslog配置文件相兼容
linux菜鸟基础学习 (五) 系统日志
weixin_34413357的博客
10-19 150
系统日志 1.系统日志默认分类 /var/log/messages ##系统服务及日志,包括服务的信息,报错等等/var/log/secure ##系统认证信息日志/var/log/maillog ##系统邮件服务信息/var/log/cron ##系统定时任务信息/var/log/boot.log ##系统启动信息 2.日志管理服务rsyslog 1.rsysl...
Linux日志管理
个人学习所用博客,记录日常学习的过程。
06-07 641
日志文件是重要的系统信息文件,其记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。日志就是用来记录重大事件的工具。系统日志文件的保存位置:cd /var/log系统常用日志:查询Linux的rsyslogd服务是否启动:ps aux | grep “rsyslog” | grep -v “grep”-v:表示过滤不包含此项的内容查询rsyslogd服务的自启动状态:systemctl list-unit-files | grep rsyslo
linux系统日志管理
branden_jin的博客
07-28 177
一、rsyslog 此服务是用来采集系统日志的,他不生产日志,只是起到采集作用. 二、rsyslog的管理 /var/log/messages ## 服务信息日志 /var/log/secure ## 系统登陆日志 /var/log/cron ## 定时任务日志 /var/log/maillog ## 邮件...
[Linux] PAM学习笔记(一)
weixin_34240657的博客
11-27 236
1. 最小密码长度设置: PAM配置文件路径 /etc/pam.d/system-auth password required pam_cracklib.so retry=3 minlen=10 password required pam_unix.so sha512 shadow use_first_pass nullok use_authtok try_first_pass 2. 给ssh远程...
Linux基础-日志管理_pam_unix(gdm-password auth) authenication failure
最新发布
m0_55030688的博客
05-05 864
日志:用于记录系统操作事件的文件,可以理解为系统和程序的“日记本”,记录系统、程序运行发生的各种事件。可以通过查看日志,了解及排除故障,也是信息安全控制的依据。
最新版linux kibana-7.17.0-linux-x86_64.tar.gz
02-07
6. **集成和API**:7.17.0 版本可能增强了与其他工具和服务的集成,比如支持更多的第三方插件和API,以便于数据导入导出或自定义开发。 7. **监控和日志分析**:Kibana可以用于实时监控系统和应用程序日志,新版本...
最新版linux node-v15.1.0-linux-x64.tar.gz
11-05
npm是世界上最大的开源软件包库,拥有数十万个可供使用的第三方模块。 8. **应用示例**: Node.js常用于构建实时聊天应用、Web服务器、数据流应用、RESTful API服务等。它的非阻塞I/O模型使其在处理大量并发连接时...
Linux-期末考试.pdf
10-30
这份名为“Linux-期末考试.pdf”的资料包含了关于Linux的基础知识考核,包括选择题、判断题和填空题,涵盖了用户管理、进程控制、文件系统、命令使用等多个方面。 在选择题,涉及了以下几个知识点: 1. 后台运行...
Linux日志管理模块
weixin_42731856的博客
07-27 1044
###系统日志管理### 1. rsyslog ##此服务是用来采集日志的,它不生产日志,只是起到采集作用 2.rsyslog的管理 /var/log/messages ##服务信息的日志 /var/log/secure...
linux定向查日志_详解Linux日志及用日志来排查错误的方法
weixin_39821718的博客
12-21 799
Linux 系统日志许多有价值的日志文件都是由 Linux 自动地为你创建的。你可以在 /var/log 目录找到它们。下面是在一个典型的 Ubuntu 系统这个目录的样子:一些最为重要的 Linux 系统日志包括:/var/log/syslog 或 /var/log/messages 存储所有的全局系统活动数据,包括开机信息。基于 Debian 的系统如 Ubuntu 在 /var/log/...
Linux日志,Rsyslog作用,日志的远程同步
baibaibai888的博客
03-06 796
linux日志及rsyslog服务器的简单介绍。通过配置rsyslog.conf文件来实现日志的远程同步
Linux安全认证隐匿插件:PAM配置探秘
m0_60788247的博客
04-09 1073
介绍的pam在linux安全认证模块承担得角色,并分享了两个案例,可以按照这个思路举一反三去解决一些疑难问题
linux pam 原理,Linux的一个后门引起对PAM的探究
weixin_35223575的博客
05-14 285
1.1原由html今天在搜索关于Linux下的后门姿式时,发现一条命令以下:软连接后门:linux1ln-sf/usr/sbin/sshd/tmp/su;/tmp/su-oPort=5555;经典后门。直接对sshd创建软链接,以后用任意密码登陆便可。sshroot@x.x.x.x-p5555这个是你们也常常会用到的命令,可是在好奇心的驱使下,为何任意密码就能够了?因而搜索了相关的资料...
1.10 Linux日志管理
weixin_47133613的博客
01-21 368
timedatectl 远程登陆2台虚拟机node1和node2 init 3 关闭图形 查看时间:timedatectl local time Unversral time事实 RTC 硬件时间bios的时间,UDC方式计算时间,系统时间是在硬件时间加上时区值 timedatectl set-time “2021-1-21 9:00;00” 修改系统时间 timedatectl list-timezones 显示所有时区 timedatectl set-timezone 修改.
Centos8安装mysql-8.0.19-linux-glibc2.12-x86_64.tar.xz 安装步骤与注意事项
xxh_1229的博客
03-15 3210
# tar -xvf mysql-8.0.19-linux-glibc2.12-i686.tar.xz
/var/log/secure
Jonathan158的专栏
05-22 6783
按照我个人的理解,/var/log/secure 这个文件是记录服务器登陆行为的。那个文件如果很大,说明有人在破解你的root密码(一般是SSH暴力破解),可以通过这个日志查到对方的IP,每次登陆,无论密码对错都会被详细记录下来,所以文件会很大,解决办法是在/etc/hosts.deny 文件加入IP,服务器就会拒绝这个IP的SSH登陆,语法: sshd:IP 如果对方频繁换IP,可以用
linux重要日志说明
会哭的雨@的博客
10-28 406
linux重要日志说明 目录 从https://linuxtechlab.com/important-logs-monitor-identify-issues/看到的 /var/log/boot.log 存储了与系统启动相关的信息。 当启动有问题,或者系统莫名其妙的关机或重启,则可以查看该日志。 /var/log/secure (RHEL/CentOS) & /var/log/auth.log (Debian/ubuntu) 存储了与用户认证有关的信息. 比如查看用户登录的信息,..
Linux系统安全以及应用
白给超人的博客
07-14 826
减少记录的命令条数注销时自动清空历史命令source /etc/profile或者 ./etc/profile :刷新vim ~/.bash_history :历史命令记录存储在.bash_history里echo " " > .bash_history :清空历史命令记录 .bash_historyhistory -c :临时删除环境变量的读取:用户登录-》加载~/.bash_profile --》bash_profile的配置首先是使 ~/.bashrc生效用户登出–》.bash_log
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值