一、常见的日志(/var/log日志保存位置)
1、查看登录失败信息:cat /var/log/secure | grep Failed
截取每行中需要列:cat /var/log/secure | grep Failed | awk ‘{print $第几列}’
不显示字母:cat /var/log/secure | grep Failed | awk ‘{print $第几列}’| grep -v [a-z]
排成连续:cat /var/log/secure | grep Failed | awk ‘{print $第几列}’| grep -v [a-z] | sort
取消重复:cat /var/log/secure | grep Failed | awk ‘{print $第几列}’| grep -v [a-z] | sort | uniq -c
防火墙阻挡IP:iptables -A INPUT -i ens33 -s 地址 -j DROP(定时计划任务,清除防火墙)
查看登录失败命令:lastb (| grep Failed | awk ‘{print $第几列}’| grep -v [a-z] | sort | uniq -c)
2、删除日志:
方法一:>/var/log/btmp inode号不变,不用重启rsyslog
方法二:rm -rf /var/log/btmp inode号改变,需要重启rsyslog
二、日志的记录方式
1、日志分类
daemon 后台进程相关
kern 内核产生的信息
lpr 打印系统产生
authpriv 安全认证
cron 定时相关
mail 邮件相关
syslog 日志服务本身
news 新闻系统
local0~7 自定义的日志设备
local0-local7 8 个系统保留,程序使用戒者是用户自定义
2、日志级别(轻——重)
3、日志服务
服务名称:rsyslog 配置文件路径:/etc/rsyslog.conf
#$UDPServerRun 514 #允许 514 端口接收使用 UDP 协议转发过来癿日志
#$InputTCPServerRun 514 #允许 514 端口接收使用 TCP 协议转发过来的日志
格式:类别.级别 存放位置
authpriv.* 认证的信息à存放à /var/log/secure
mail.* 邮件相关的信息à 存放à -/var/log/maillog
cron.* 计划任务相关的信息 à存放à /var/log/cron
local7.* 开机时显示的信息à存放à/var/log/boot.log
4、特殊符号
. info 大于等于info级别的信息全部记录到某个文件
.=级别 仅记录等于某个级别的日志
.! 级别 除了某个级别以外,记录所有的级别信息
.none 排除某个类别
例:mail.none 所有mail类别的日志都不记录
5、操作步骤:
1)vim /etc/rsyslog.conf
2)*.* /var/log/alert.log
3)systemctl restart rsyslog.service 重启rsyslog 服务,配置生效。
4)防止日志删除:+a 特殊权限
三、日志切割与轮替
日志切割:对日志进行指定大小切割,logrotate支持时间和大小切割
日志轮替:把旧日志文件移动并改名,同时建立新的空日志文件
——inode号改变,需重启服务
操作步骤:
1、选择设置方式:全局设置:/etc/logrotate.conf
局部设置:/etc/logrotate.d/子目录有详细的配置文件
全局与局部设置有差异,按照局部执行
2、相关参数
weekly:每周执行一次日志切割轮替 如daily/monthly/yearly
rotate:最多保留几份 如:rotate 4
create:指定新创建的文件权限所有者、所属组 如:create 0664 root utmp
dateext:使用日期为后缀的切割文件
prerotate/endscript:在日志轮替之前执行脚本命令
postrotate/endscript: 在所有其它指令完成后,postrotate和endscript 里面指定的命令将被执行。在这种情况下,rsyslogd进程将立即再次读取其配置并继续运行
3、将脚本放入/etc/logrotate.d下
4、强制执行:
logrotate 命令 格式:logrotate -vf /etc/logrotate.conf
-v:显示日志轮替过程 -f:强制进行日志轮替
5、对比轮替后的2个日志文件
四、日志服务器
服务器端:
1、打开514端口
打开端口:vim /etc/ryslog.conf 取消TCP或UDP注释
重启服务:systemctl restart rsyslog.service
查看是否开启:netstat -antp
2、关闭防火墙、保护机制
客户端:
1、定义日志
vim /etc/rsyslog.conf
*.* @@192.168.117.100:514(@@:TCP @:UDP)
2、修改主机名
hostnamectl set-hostname 主机名
3、重启服务(useradd xxx 保存在服务器端/var/log/secure)