linux的日志系统
作为一名系统管理员,我们不可能时时刻刻都在服务器旁边,而且也不可能为了保证服务器不被攻击,这时系统的日志就显得很重要了,可以通过分析日子检查系统的漏洞,提前预防和事后的修复。
系统在正常运行的日志主要有syslog进程来提供,syslog又有syslogd和klogd两部分组成,分别用来记录系统日志和内核日志。而在启动过程的日志有其他的机制来提供。日志系统的配置信息在/etc/syslog.conf。其中每行配置文件可分为两部分,有谁产生的信息,存放在那个地方。
对于产生的信息分了级别。可以通过 man syslog.conf中显示。级别越高,记录的信息越少。
而存放信息的位置可分为以下几部分:
1. /var/log/dmesg 记录开机时的硬件信息
2. /var/log/message 默认的系统错误信息日志
3. /var/log/maillog 邮件服务日志
4. /var/log/secure 与安全有关及xineted相关日志
5. /var/log/cudit/cudit.log 内核审计信息(aureport和ausearch专门查看)
对于/etc/syslog.conf的一行如:
mail.* -/var/log/maillog
分别表示:mail产生的任意级别的信息都被异步的写入/var/log/maillog中。再如:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
表示任何信息只要级别高于info,但除了mail,authpriv,cron的信息都被记录到/var/log/message中。
如果想要把日志记录到其他的主机中需要在本地主机中存储位置改为@192.168.0.100。IP地址为专门提供日志记录的主机地址。同时还要在日志服务器中的/etc/sysconfig/syslog配置文件中将SYSLOGD_OPTIONS="-m 0"改为SYSLOGD_OPTIONS="-r -m 0"使其能够记录其他主机的日志。
以下为我做的日志服务器的几个抓图
客户机的配置和命令:
客户机执行的命令分别为:
1
2
客户机的IP为:
服务器的日志变化为:
对应第一个所得到的日志为
第二个命令得到的结果是:
以上为我得到的结果!