Linux日志概述
一、日志的功能
- 用于记录系统、程序运行中发生的各种事件
- 通过阅读日志,有助于诊断和解决系统故障
二、常见日志文件的位置及记录内容
(1)内核及公共消息日志:
- /var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
(2)计划任务日志:
- /var/log/cron:记录 crond 计划任务产生的事件信息
(3)系统引导日志:
- /var/log/dmesg:记录Linux系统在引导过程中的各种事件信息
(4)邮件系统日志:
- /var/log/maillog:记录进入或发出系统的电子邮件活动。
(5)用户登录日志:
- /var/log/secure:记录用户认证相关的安全事件信息。
- /var/log/lastlog:记录每个用户最近的登录事件。二进制格式
- /var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。二进制格式
- /var/run/btmp:记录失败的、错误的登录尝试及验证事件。二进制格式
分析工具
users、 who、w 、last、lastb
last命令用于查询成功登录到系统的用户记录
lastb命令用于查询登录失败的用户记录
三、日志记录的一般格式
四、常用日志概述
Linux操作系统的日志文件大多都默认放在目录 /var/log/ 下
4.1 内核及系统日志
- 由系统服务 rsyslog(定义日志格式和等级) 统一进行管理,日志格式基本相似
- 软件包:rsyslog-7.4.7-16.el7.x86_64
主要程序:/sbin/rsyslogd
配置文件:/etc/rsyslog.co - 位置:/var/log/messages
4.1.1 查看rsyslog.conf 配置文件
vim /etc/rsyslog.conf
4.1.2 Linux系统内核日志消息的优先级别
数字等级越小,优先级越高,消息越重要
级号 | 消息 | 级别 | 说明 |
---|---|---|---|
0 | EMERG | 紧急 | 会导致主机系统不可用的情况。 |
1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
2 | CRIT | 严重 | 比较严重的情况 |
3 | ERR | 错误 | 运行出现错误 |
4 | WARNING | 提醒 | 可能影响系统功能,需要提醒用户的 |
5 | NOTICE | 注意 | 不会影响正常功能,但是需要注意的事件 |
6 | INFO | 信息 | 一般信息 |
7 | DEBUG | 调试 | 程序或系统调试信息等 |
4.2 用户日志
记录系统用户登录及退出系统的相关信息
vim /var/log/secure
4.3 程序日志
由相应的应用程序独立进行管理
- Web服务:Nar/log/httpd/
access_log //记录客户访问事件
error_log //记录错误事件 - 代理服务:/var/log/squid/
access.log、cache.log - 分析工具
- 文本查看、grep过滤检索、Webmin管理套件中查看
- awk、sed等文本过滤、格式化编辑工具
- Webalizer、Awstats等专用日志分析工具
五、日志管理策略
(1)及时作好备份和归档
(2)延长日志保存期限
(3)控制日志访问权限
- 日志中可能会包含各类敏感信息,如账户、口令等
(4)集中管理日志
- 将服务器的日志文件发到统一的日志文件服务器
- 便于日志信息的统一收集、整理和分析
- 杜绝日志信息的意外丢失、恶意篡改或删除