Descripción general del registro de Linux
1. Función de registro
- Se utiliza para registrar varios eventos que ocurren durante el funcionamiento del sistema y los programas.
- Al leer el registro, es útil diagnosticar y resolver fallas del sistema.
2. La ubicación y el contenido del registro de archivos de registro comunes
(1) Kernel y registro de mensajes públicos:
- / var / log / messages: registra los mensajes del kernel de Linux y la información de registro público de varias aplicaciones, incluido el inicio, errores de E / S, errores de red, fallas del programa, etc. Para aplicaciones o servicios que no utilizan un archivo de registro independiente, generalmente puede obtener información de registro de eventos relacionados del archivo de registro.
(2) Registro de tareas programadas:
- / var / log / cron: registra la información del evento generada por la tarea programada crond
(3) Registro de inicio del sistema:
- / var / log / dmesg: registra diversa información de eventos del sistema Linux durante el proceso de arranque
(4) Registro del sistema de correo:
- / var / log / maillog: registra la actividad de correo electrónico que ingresa o envía al sistema.
(5) Registro de inicio de sesión de usuario:
- / var / log / secure: registra la información de eventos de seguridad relacionada con la autenticación del usuario.
- / var / log / lastlog: registra los últimos eventos de inicio de sesión de cada usuario. Formato binario
- / var / log / wtmp: registra cada inicio de sesión de usuario, cierre de sesión y eventos de inicio y apagado del sistema. Formato binario
- / var / run / btmp: registro fallido, intentos de inicio de sesión incorrectos y eventos de verificación. Formato binario
分析工具
users、 who、w 、last、lastb
last命令用于查询成功登录到系统的用户记录
lastb命令用于查询登录失败的用户记录
Tres, el formato general de los registros
4. Descripción general de registros comunes
La mayoría de los archivos de registro del sistema operativo Linux se colocan en el directorio / var / log / de forma predeterminada
4.1 Kernel y registro del sistema
- Gestión unificada por el servicio del sistema rsyslog (definir formato y nivel de registro), el formato de registro es básicamente similar
- Paquete: rsyslog-7.4.7-16.el7.x86_64
Programa principal: / sbin / rsyslogd
Archivo de configuración: /etc/rsyslog.co - Ubicación: / var / log / messages
4.1.1 Ver el archivo de configuración rsyslog.conf
vim /etc/rsyslog.conf
4.1.2 Prioridad de los mensajes de registro del kernel de Linux
Cuanto menor sea el nivel numérico, mayor será la prioridad y más importante el mensaje
Número de grado | Noticias | nivel | Descripción |
---|---|---|---|
0 | EMERG | urgente | Hará que el sistema host no esté disponible. |
1 | ALERTA | consideración | Problemas que deben resolverse de inmediato |
2 | CRIT | grave | Situación más grave |
3 | ERRAR | error | Error de ejecución |
4 | ADVERTENCIA | recordar | Puede afectar las funciones del sistema y es necesario recordarle a los usuarios |
5 | DARSE CUENTA | Nota | No afectará las funciones normales, sino eventos que requieran atención. |
6 | INFO | información | Información general |
7 | DEPURAR | depuración | Información de depuración del programa o del sistema, etc. |
4.2 Registro de usuario
Registre la información de inicio y cierre de sesión del usuario del sistema
vim / var / log / secure
4.3 Registro del programa
Gestionado de forma independiente por la aplicación correspondiente
- Servicio web: Nar / log / httpd /
access_log // Registra los eventos de acceso del cliente
error_log // Registra los eventos de error - Servicio de proxy: / var / log / squid /
access.log, cache.log - herramienta de análisis
- Vista de texto, búsqueda de filtro grep, vista en la suite de administración de Webmin
- Herramientas de edición, formato y filtrado de texto como awk y sed
- Webalizer, Awstats y otras herramientas de análisis de registros dedicadas
Cinco, estrategia de gestión de registros
(1) Realice copias de seguridad y archivos a tiempo
(2) Extienda el período de retención de registros
(3) Controlar los derechos de acceso al registro
- Los registros pueden contener diversa información confidencial, como cuentas, contraseñas, etc.
(4) Gestión centralizada de registros
- Envíe el archivo de registro del servidor al servidor de archivos de registro unificado
- Facilitar la recopilación, clasificación y análisis unificados de información de registro
- Evite la pérdida accidental, la manipulación malintencionada o la eliminación de información de registro