Linux操作系统的日志分析

Linux操作系统的日志分析

在Centos 7.x / RHEL 7.x 的版本，系统日志是由一个名为rsyslog的服务管理的，默认的日志守护进程为 rsyslog , rsyslog是 syslog 的升级版本，默认安装，随机启动。

主配置文件：
/etc/rsyslog.conf
Linux系统日志的重要性无需多言，日志对管理员来说，是了解系统运行的主要途径，因此需要对 Linux 日志系统有个详细的了解。Linux 系统内核和许多程序会产生各种错误信息、告警信息和其他的提示信息，这些各种信息都应该记录到日志文件中，完成这个过程的程序就是 rsyslog，rsyslog 可以根据日志的类别和优先级将日志保存到不同的文件中。
常见的日志类型：

常见的日志优先级：

系统日志一般存储于 /var/log 目录下，查看 rsyslog.conf：

通过查看 rsyslog.conf 可以总结出部分日志文件记录的信息

/var/log/message
记录了系统日常的一些操作，内核态和用户态的信息都有，对于
这个文件，我们日常只需要关注一些错误和告警信息。
查看 message 时，发现了大量 类似 开启 session 会话的东西，一看
是 root 立刻提高警惕。查看时间，发现规律：每 10 分钟执行一次，

查看后，发现时间刚好能匹配上。分析：
cron 每小时默认每小时执行的任务在 /etc/cron.hourly/ 目录下
每十分钟执行的命令： /usr/lib64/sa/sa1 1 1

这种会话的产生是系统执行了一个 bash脚本，查看了一个新的bash环境，执行完毕就退出了。

/var/log/boot.log
该日志记录的是系统启动的过程，可以通过该日志，查看某些服务启动成功或者失败。

/var/log/lastlog：不用直接查看该日志文件，通过命令：lastlog 查看

/var/log/secure
主要记录用户登录认证。如果出现大量： authentication failure; 就表示有程序或者人为在尝试登录。可以通过加强 ssh 或者 iptables 来管控登录次数。

/var/log/btmp
记录Linux登陆失败的用户、时间以及远程IP地址，该文件是一个二进制保存的文件，直接使用 lastb 命令查看。如果该日志文件过大，可以清空该文件。

/var/log/wtmp
该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，使用last命令查看直接使用 last 命令查看，

谢谢翻阅！！！