目录
基本介绍
1.日志文件是重要的系统信息文件,其中记录了很多重要的系统事件,包括用户的登录信息,系统的启动信息,系统的安全信息,邮件相关信息,各种服务相关信息等。
2.日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因,或者收到攻击时攻击者留下的痕迹
3.日志就是用来记录重大事件的工具
系统常用的日志
/var/log/ 目录就是系统日志文件的保存位置
日志文件 | 说明 |
/var/log/boot.log | 系统启动日志 |
/var/log/cron | 记录与系统定时任务相关的日志 |
/var/log/cups | 记录打印信息的日志 |
/var/log/dmesg | 记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自检信息 |
/var/log/btmp | 记录错误登录的日志,这个文件是二进制文件,不能直接用vi查看,而要使用lastb命令查看。命令如下:lastb |
/var/log/lastlog | 记录系统中所有用户最后一次登陆时间的日志,这个文件也是二进制文件,要使用lastlog命令查看 |
/var/log/maillog | 记录邮件信息的日志 |
/var/log/message | 记录系统重要信息的日志。这个日志文件会记录linux系统的绝大多数重要信息。如果系统出现问题,首先要检查的应该就是这个日志文件 |
/var/log/secure | 记录验证和授权方面的信息,只要设计账户和密码的程序都会记录,比如系统的登录、ssh的登录、su切换用户、sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件当中 |
/var/log/wtmp | 永久记录所有用户的登录、注销信息,同时记录系统的关机,重启事件。是二进制,需要使用last命令查看 |
/var/log/ulmp | 记录当前已经登录的用户信息。这个文件会随着用户的登录和注销而不断变化,只记录当前登录用户的信息。这个文件不能用vi查看,而要使用w、who、users等命令查看 |
日志管理服务 rsyslogd
CentOS 7.x日志服务是rsyslogd,CentOS 6.x日志服务是syslogd,rsyslogd功能更强大
rsyslogd的使用、日志文件的格式,和syslogd服务兼容
查询Linux中的rsyslogd服务是否开启
ps aux | grep "rsyslogd" | grep -v "grep"
查询rsyslogd服务的自启动状态
systemctl list-unit-files | grep rsyslog
配置文件:/etc/rsyslog.conf
编辑文件时的格式为:*.* 存放日志文件
其中第一个*代表日志类型,第二个*代表日志级别
1. 日志类型分为:
auth | pam产生的日志 |
authpriv | ssh,ftp等登录信息的验证信息 |
corn | 时间任务相关 |
kern | 内核 |
lpr | 打印 |
邮件 | |
mark(syslog)-rsyslog | 服务内部的信息,时间标识 |
news | 新闻组 |
user | 用户程序产生的相关信息 |
uucp | unix to unix copy主机之间相关的通信 |
local 1-7 | 自定义的日志设备 |
2.日志级别分为:
debug | 有调试信息的,日志通信最多 |
info | 一般信息日志,最常用 |
notice | 最具有重要性的普通条件的信息 |
warning | 警告级别 |
err | 错误级别,阻止某个功能或者模块不能正常工作的信息 |
crit | 严重级别,阻止整个系统或者整个软件不能正常工作的信息 |
alert | 需要立刻修改的信息 |
emerg | 内核崩溃等重要信息 |
none | 什么都不记录 |
注意:从上到下,级别从低到高,记录信息越少
由日志服务rsyslogd记录的日志文件,日志文件的格式包含以下4列:
1.事件产生的事件
2.产生事件的服务器的主机名
3.产生事件的服务名或程序名
4.事件的具体信息
日志如何查看实例
自定义日志服务
日志服务管理应用实例
在/etc/rsyslog/conf 中添加一个日志文件 /var/log/lucycia.log,当有事件发生时,(比如sshd服务相关事件),该文件会接收到信息并保存。演示重启,登录的情况,看看是否有日志保存。
第一步,修改rsyslog.conf文件
创建lucycia.log文件
重启系统,查看/var/log/lucycia.log文件
日志轮替
基本介绍
日志轮替就是把旧的日志文件移动并改名,同时建立新的空日志文件,当旧日志文件超出保存的范围之后,就会进行删除
日志轮替文件命令
1. centos7使用logrorate进行日志轮替管理,要想改变日志轮替文件名字,通过 /etc/logrotate.conf配置文件中“dateext”参数
2. 如果配置文件中有“dateext”参数,那么日志就会用日期来作为日志文件的后缀,这样日志文件名不会重叠,也就不需要日志文件的改名,只需要指定保存日志个数,删除多于的日志文件即可
3. 如果配置文件中没有“dateext”参数,日志文件就需要进行改名了。当第一次进行日志轮替时,当前的“secure”日志会自动改名为“secure.1”,然后新建“secure”日志,用来保存新的日志,当第二次进行日志轮替时,“secure.1”会自动改名为“secure.2”,当前的“secure”日志会自动改名为“secure.1”,然后也会新建“secure”日志,用来保存新的日志,以此类推
logrotate配置文件
/etc/logrotate.conf为logrotate的全局配置文件
#rotate log files weekly. 每周对日志文件进行一次轮替
weekly
# keep 4 weeks worth of backlogs. 共保存4份日志文件,党建立新的日志文件时,旧的会被删除
rotate 4
# create new (empty) log files after rotating old ones 创建新的空的日志文件,在日志轮替后
create
# use date as a suffix of the rotated file. 使用日期作为日志轮替文件的后缀
dateext
# uncomment this if you want your log files compressed. 日志文件是否压缩。如果取消注释,则日志会在转存的同时进行压缩
# compress
#RPM packages drop log rotatoin information into this directory
include /etc/logrotate.d
# 包含 /etc/logrotate.d/ 目录中所有的子配置文件,也就是说把这个目录中所有子配置文件读取出来
#下面是单独设置,优先级更高
/var/log/wtmp {
monthly #每月对日志文件进行一次轮替
create 0664 root utmp #建立新的日志文件,权限是0664,所有者是root,所属组是utmp组
minsize 1M #日志文件最小轮替大小是1M,也就是日志一定要超过1MB才会轮替
rotate 1 #仅保留一个日志备份,也就是只有wtmp和wtmp.1日志保留而已
}
/var/log/btmp {
missingok
monthly
create 0600 root utmp
rotate 1
}
把自己的日志加入日志轮替
第一种方法是直接在 /etc/logrotate.conf 配置文件中写入该日志的轮替策略
第二种方法是在/etc/logrotate.d/ 目录中新建该日志的轮替文件,在该轮替文件中写入正确的轮替策略,因为该目录中的文件都会被“include”到主配置文件中,所以也可以吧日志假如轮替
推荐使用第二种方法
查看内存日志
journalctl 可以查看内存日志,这里我们看看常用的指令
journalctl 查看全部
journalctl -n 3 查看最新3条
journalctl --since 19:00 --until 19:10:10 查看起始时间到结束时间的日志 可加日期
journalctl -p err 查看错误日志
journalctl -o verbose 日志详细内容
journalctl _PID=1245 _COMM=sshd 查看包含这些参数的日志
或者 journalctl | grep sshd
注意:journalctl 查看的是内存日志,重启清空