12.日志管理
12.1.日志管理简介
1、日志服务
在CentOS 6.x中日志服务已经由rsyslogd取代了原先的syslogd服务。rsyslogd日志服务更加先进,功能更多。但是不论该服务的使用,还是日志文件的格式其实都是和syslogd服务相兼容的,所以学习起来基本和syslogd服务一致。
2、rsyslogd的新特点
基于TCP网络协议传输日志信息
更安全的网络传输方式
有日志消息的及时分析框架
后台数据库
配置文件中可以写简单的逻辑判断
与syslog配置文件相兼容
3、确定服务启动
查看服务是否启动
ps aux|grep rsyslogd
查看服务是否自动
chkconfig –list|grep rsyslog
貌似这个命令不行了,在centos7上,系统服务提示用这个命令:systemctl list-unit-files
4、常用日志的作用
| 日志文件 |
说明 |
| /var/log/cron |
记录了定时任务相关的日志。 |
| /var/log/cups |
记录打印信息的日志 |
| /var/log/dmesg |
记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自检信息 |
| /var/log/btmp |
记录错误登录的日志。这个文件是二进制文件,不能直接vi查看,而要使用lastb命令查看,命令如下: [root@localhost log]# lastb rot ssh:notty 192.168.1.101 Thu May 10 19:21 - 19:21 (00:00) Administ ssh:notty 192.168.1.101 Sun May 6 16:13 - 16:13 (00:00) Administ ssh:notty 192.168.1.101 Sat May 5 21:38 - 21:38 (00:00)
btmp begins Sat May 5 21:38:05 2018 [root@localhost log]# |
| /var/log/lastlog |
记录系统中所有用户最后一次的登录时间的日志。这个文件是二进制文件,不能直接vi查看,而要使用lastlog命令查看。 |
| /var/log/maillog |
记录了邮件信息 |
| /var/log/message |
记录系统重要信息的日志,这个日志文件 中会记录Linux系统的绝大鑫数重要信息,如果系统出现问题,首先要检查的就应该是这个日志文件。 |
| /var/log/secure |
记录验证和授权方面的信息,只有涉及帐户和密码的程序都会记录。例如系统的登录,ssh的登录,su切换用户,sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中。 |
| /var/log/wtmp |
永久记录所有用户的登录、注销信息、同时记录系统的启动,重启,关机事件。同样这个文件也是一个二进制文件,不能直接vi命令查看,而需要使用last命令查看。 |
| /var/run/utmp |
记录当前已经登录的用户信息。这个会随着用户的登录和注销而不断变化,只记录前登录用户的信息。这个文件也不能直接用vi命令查看,而要使用w,who,users等命令来查询 |
除了系统的默认日志之外,采用RPM方式安装的系统服务也会默认把日志记录在/var/log目录中,源码包安装的服务日志是在源码包指定目录中。不过这些日志不是由rsyslogd服务来记录和管理的,而是各个服务使用自己的日志管理文档来记录自身的日志。
常见的RPM包日志:
/var/log/httpd/` apache服务
/var/log/mail/ 邮件服务
/var/log/samba/ samba服务
/var/log/sssd/ 守护进程安全服务目录
12.2.rsyslogd服务
1、日志文件格式
基本日志格式包含以下四列:
事件产生的时间
发生事件的服务器的主机名
产生事件的服务名或程序名
事件的具体信息
如下所示为secure日志格式:
[root@localhost log]# head secure
May 6 22:25:43 localhost sshd[1556]: Accepted password for root from 192.168.1.101 port 60068 ssh2
May 6 22:25:43 localhost sshd[1556]: pam_unix(sshd:session): session opened for user root by (uid=0)
May 6 23:07:52 localhost groupadd[1714]: group added to /etc/group: name=apache, GID=48
May 6 23:07:52 localhost groupadd[1714]: group added to /etc/gshadow: name=apache
May 6 23:07:52 localhost groupadd[1714]: new group: name=apache, GID=48
May 6 23:07:52 localhost useradd[1718]: new user: name=apache, UID=48, GID=48, home=/usr/share/httpd, shell=/sbin/nologin
May 6 23:08:50 localhost polkitd[643]: Registered Authentication Agent for unix-process:1753:2313559 (system bus name :1.38 [/usr/bin/pktty
2、/etc/rsyslog.conf配置文件
配置格式:
服务名称[链接符号]日志等级 日志记录位置
如下所示:
authpriv.* /var/log/secure
认证相关服务.所有日志等级 记录在/var/log/secure日志文件中
这些名称只在rsyslogd日志中有效
支持的服务名称:
| 服务名称 |
说明 |
| auth |
安全和认证相关消息, 不推荐使用authpriv替代 |
| authpriv |
安全和认证相关消息,私有的 |
| cron |
系统定时任务crontab和at产生的日志 |
| deamon |
和各个守护进程相关的日志 |
| ftp |
ftp守护进程产生的日志 |
| kern |
内核产生的日志,不是用户进程产生的 |
| local0-local7 |
为本地使用预留的服务 |
| lpr |
打印产生的日志 |
| |
邮件收日志 |
| news |
与新闻服务器相关的日志 |
| syslog |
有syslogd服务产生的日志信息,虽然服务名称已经改为rsyslogd,但是很多配置都还是沿用了syslogd的,这里并没有修改服务名 |
| user |
用户等级类别的日志信息 |
| uucp |
uucp子系统的日志信息,uucp是早期linux系统进行数据传递的协议,后来也常用在新闻组服务中。 |
rsyslogd支持的连接符号:
| 连接符号 |
说明 |
| * |
代表所有日志等级,例如:authpriv.*,代表authpriv认证信息服务产生的日志,所有日志等级都记录 |
| . |
代表只要比后面的等级高的,包含该等级的日志都记录下来。例如:cron.info代表cron服务产生的日志,只有日志级别大于等于info级别,就会记录下来。 |
| .= |
代表只记录所需等的日志,其他等级的都不记录。例如:*.=emerg,代表任何日志服务产生的日志,只有等级是emerg等级就记录。这种用法及少见,了解就好 |
| .! |
代表不等于,也就是除了该等级的日志外,其他等级日志都记录。 |
syslogd支持日志等级:
| 日志等级 |
说明 |
| debug |
一般的调试信息 |
| info |
基本的通知信息 |
| notice |
普通信息,但是有一定的重要性 |
| warning |
警告信息,但是还不会影响到服务或系统运行 |
| err |
错误信息,一般达到err等级的信息,已经影响到服务或系统的运行了 |
| crit |
临界状况信息,比err等级还要严重 |
| alert |
警告状态信息,比crit还要严重,必须立即采取行动 |
| emerg |
疼痛待级信息,系统已经无法使用了 |
syslogd支持的日志记录位置:
| 类别 |
举例 |
| 日志文件的绝对路径 |
/var/log/secure |
| 系统设备文件 |
/dev/lp0 |
| 转发给远程主机 |
@192.168.0.210:514 |
| 用户名 |
root |
| 忽略或丢弃日志 |
~ |
12.3.日志轮替
1、日志文件的命名规则
如果配置文件中拥有dateext参数,那么日志会用日期来作为日志文件的后缀,例如secure-20180510,这样的话日志文件名不会重叠,所以也就不需要日志文件的改名,只需要保存指定的日志个数,删除多余的日志文件即可。
如果配置文件中没有dateext参数,那么日志文件就需要进行改名了。当第1次进行日志轮替时,当前的secure日志会自动改名为secure.1,然后新建secure日志,用来保存新的日志,当第2次进行日志轮替时,secure.1会自动更新为secure.2,当前的secure日志会自动改为为secure.1,然后新建secure日志,用来保存新的日志,以此类推。
2、logrotate配置文件
| 参数 |
参数说明 |
| daily |
日志的轮替周期是每天 |
| weekly |
日志的轮替周期是每周 |
| monthly |
日志的轮替周期是每月 |
| rotate 数字 |
保留的日志文件的个数,0指没有备份 |
| compress |
日志轮替时,旧的日志进行压缩 |
| create mode owner group |
建立新的日志,同时指定新日志的权限与所有者和所属组。 如:create 0600 route utmp |
| mail address |
当日志轮替时,输出内容通过邮件发送到指定的邮件地址 如:mail [email protected] |
| missingok |
如果日志文件不存在,则忽略该日志的警告信息 |
| notifyempty |
如果日志为空文件,则不进行日志轮替 |
| minsize 大小 |
日志轮替的最小值,也就是日志一定要达到这个最小值才会轮替,否则就算时间达到也不轮替 |
| size 大小 |
日志只有大于指定大小才进行日志轮替,而不是按照时间轮替,如:size 100K |
| dateext |
使用日期作为日志轮替文件的后缀。如:secure-20180510 |
上面半部分为全局配置,下面一部分是/var/log/wtmp和/var/log/btmp特有的配置:
[root@localhost etc]# cat /etc/logrotate.conf
# see "man logrotate" for details
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4
# create new (empty) log files after rotating old ones
create
# use date as a suffix of the rotated file
dateext
# uncomment this if you want your log files compressed
#compress
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# no packages own wtmp and btmp -- we'll rotate them here
/var/log/wtmp {
monthly
create 0664 root utmp
minsize 1M
rotate 1
}
/var/log/btmp {
missingok
monthly
create 0600 root utmp
rotate 1
}
# system-specific logs may be also be configured here.
[root@localhost etc]#
3、把apache日志加入轮替
RPM包安装会自动配置。
源码包安装的服务,需要手动加入配置:
vi /etc/logrotate.conf
/var/usr/local/apache/logs/access_log{
daily
create
rotate 30
}
4、logrotate命令
语法:
logrotate [选项] 配置文件名
如果此命令没有选项,则会按照配置文件中的条件进行日志轮替。
-v:显示日志轮替过程。加了-v选项,会显示日志的轮替的过程。
-f:强制进行日志轮替。不管日志轮替的条件是否已经符合,强制配置文件中所有的日志进行轮替
12.4.启动引导程序-Grub加密与字符界面分辨率调整
在启动的时候,按下任意键盘,就可以进行Grub的选择界面
然后按下e键,就可以编辑Grub配置文件了,但是每个人都可以编辑不安全。所要设置grub密码。
1、grub加密
命令:
grub-md5-crypt
生成加密密码串
貌似centos7中没有这个命令了
设置了grub加密后,以后要编辑grub配置文件,需要使用grub密码才能编辑了。
centos7的方法已经不是上面的方式了,而且密码的加密更安全了:
设置grub密码保护:
查看grub登录用户名cat /etc/grub.d/01_users,可以看到用户名为root。通过grub2-setpasswords设置grub密码,确认密码 cat /boot/grub2/user.cfg。重启后进入grub需要用户名和密码
[root@localhost ~]# cat /etc/grub.d/01_users
#!/bin/sh -e
cat << EOF
if [ -f \${prefix}/user.cfg ]; then
source \${prefix}/user.cfg
if [ -n "\${GRUB2_PASSWORD}" ]; then
set superusers="root"
export superusers
password_pbkdf2 root \${GRUB2_PASSWORD}
fi
fi
EOF
[root@localhost ~]# grub2-setpasswords
-bash: grub2-setpasswords: command not found
[root@localhost ~]# grub2-setpassword
Enter password:
Confirm password:
[root@localhost ~]# cat /boot/grub2/user.cfg
GRUB2_PASSWORD=grub.pbkdf2.sha512.10000.44A14BB0A2FBA9511FE80754FB317AF04518F0FCB6C3D25454EB186AC7D84175C94595F5E8CC1AE127A5328CDCC5553DBB5C5C70928C0EAFDE675DC5B444D926.D45D10DF6E988AD8839EE2BAA746F5A962CFFC65C47FBF418F1A8211D890081E6619A9853586645A2E8CC69B50F7EF577308F28882574C31CA425849E78D2144
[root@localhost ~]#
重启后,在引导界面,输入e进行grub配置编辑界面前,需要输入用户名和密码,root/xx密码
2、字符界面分辨率调整
查询内核是否支持分辩率修改
[root@localhost boot]# cat config-3.10.0-693.el7.x86_64 |grep CONFIG_FRAMEBUFFER_CONSOLE
CONFIG_FRAMEBUFFER_CONSOLE=y
调整的时候,填写如下表格中的值即可,例如32位的1024x768,是792
填写哪里呢?有些版本不支持这个参数,有的支持是16进制的值,需要换算。
貌似centos7已经不是这样配置的了,网上找的参考:
正确解决方法
刚装的CentOS7.2 1511系统,正常启动,一般都是这样的,分辨率640x480
进入系统后,更改分辨率,设置如下
[root@min-base ~]# vim /etc/default/grub
将GRUB_TERMINAL_OUTPUT值由默认的"console"改为"gfxterm",并添加GRUB_GFXMODE
GRUB_TIMEOUT=2
GRUB_DISTRIBUTOR="$(sed 's, release .*$,,g' /etc/system-release)"
GRUB_DEFAULT=saved
GRUB_DISABLE_SUBMENU=true
GRUB_TERMINAL_OUTPUT="gfxterm"
GRUB_CMDLINE_LINUX="crashkernel=auto rd.lvm.lv=centos/root rd.lvm.lv=centos/swap rhgb quiet"
GRUB_DISABLE_RECOVERY="true"
GRUB_GFXMODE=1440x900,1024x768,640x480
这里官方手册写得很清楚,ubuntu自带grub2默认是gfxterm, 而centos默认是console,所以只设置GRUB_GFXMODE不生效!
更新grub.cfg
[root@min-base ~]# grub2-mkconfig -o /boot/grub2/grub.cfg
Generating grub configuration file ...
Found linux image: /boot/vmlinuz-3.10.0-327.el7.x86_64
Found initrd image: /boot/initramfs-3.10.0-327.el7.x86_64.img
Found linux image: /boot/vmlinuz-0-rescue-474822243f59425e80af30ff5e2b8cd4
Found initrd image: /boot/initramfs-0-rescue-474822243f59425e80af30ff5e2b8cd4.img
done
[root@min-base ~]#
新版grub2已经不再使用update-grub这个命令了,改用grub2-mkconfig
确定后重启就可以看到效果了,窗口大小是有变化的。在centos7.4上验证此方法有效。貌似只是引导界面变了一下,和Windows的修改分辨率咋感觉不是一个概念。。。