Visão geral do registro do Linux
1. Função de registro
- Usado para registrar vários eventos que ocorrem durante a operação do sistema e programas
- Ao ler o log, é útil diagnosticar e resolver as falhas do sistema
2. A localização e o conteúdo do registro de arquivos de log comuns
(1) Kernel e log de mensagens públicas:
- / var / log / messages: registra mensagens do kernel do Linux e informações públicas de log de vários aplicativos, incluindo inicialização, erros de IO, erros de rede, falhas de programa, etc. Para aplicativos ou serviços que não usam um arquivo de log independente, geralmente você pode obter informações de registro de eventos relacionados a partir do arquivo de log.
(2) Registro de tarefas agendadas:
- / var / log / cron: registra as informações do evento geradas pela tarefa agendada crond
(3) Registro de inicialização do sistema:
- / var / log / dmesg: registra várias informações de eventos do sistema Linux durante o processo de inicialização
(4) Registro do sistema de correio:
- / var / log / maillog: registra a atividade de email entrando ou enviando o sistema.
(5) Log de login do usuário:
- / var / log / secure: registra informações de eventos de segurança relacionadas à autenticação do usuário.
- / var / log / lastlog: registra os eventos de login mais recentes de cada usuário. Formato binário
- / var / log / wtmp: registra cada login de usuário, logout e eventos de inicialização e desligamento do sistema. Formato binário
- / var / run / btmp: Registro falhou, tentativas de login erradas e eventos de verificação. Formato binário
分析工具
users、 who、w 、last、lastb
last命令用于查询成功登录到系统的用户记录
lastb命令用于查询登录失败的用户记录
Três, o formato geral dos registros de log
4. Visão geral dos registros comuns
A maioria dos arquivos de log do sistema operacional Linux são colocados no diretório / var / log / por padrão
4.1 Kernel e log do sistema
- Gerenciamento unificado pelo rsyslog de serviço do sistema (definir formato e nível de log), o formato de log é basicamente semelhante
- Pacote: rsyslog-7.4.7-16.el7.x86_64
Programa principal: / sbin / rsyslogd
Arquivo de configuração: /etc/rsyslog.co - Localização: / var / log / messages
4.1.1 Ver o arquivo de configuração rsyslog.conf
vim /etc/rsyslog.conf
4.1.2 Prioridade das mensagens de registro do kernel Linux
Quanto mais baixo for o nível numérico, maior será a prioridade e mais importante será a mensagem
| Número da série | notícia | nível | Descrição |
|---|---|---|---|
| 0 | EMERG | urgente | Fará com que o sistema host fique indisponível. |
| 1 | ALERTA | embargo | Problemas que devem ser resolvidos imediatamente |
| 2 | CRIT | grave | Situação mais séria |
| 3 | ERRAR | erro | Erro de execução |
| 4 | ATENÇÃO | lembrar | Pode afetar as funções do sistema e precisa lembrar os usuários |
| 5 | AVISO PRÉVIO | Nota | Não afetará as funções normais, mas eventos que requerem atenção |
| 6 | INFO | em formação | Informação geral |
| 7 | DEPURAR | depuração | Informações de depuração do programa ou sistema, etc. |
4.2 Log do usuário
Registre informações de login e logout do usuário do sistema
vim / var / log / secure
4.3 Registro do programa
Gerenciado de forma independente pelo aplicativo correspondente
- Serviço da Web: Nar / log / httpd /
access_log // Registrar eventos de acesso do cliente
error_log // Registrar eventos de erro - Serviço proxy: / var / log / squid /
access.log, cache.log - ferramenta de análise
- Visualização de texto, pesquisa de filtro grep, visualização no pacote de gerenciamento Webmin
- Ferramentas de filtragem, formatação e edição de texto, como awk e sed
- Webalizer, Awstats e outras ferramentas de análise de registro dedicadas
Cinco, estratégia de gerenciamento de log
(1) Faça backups e arquivos a tempo
(2) Prolongue o período de retenção de log
(3) Controle de direitos de acesso ao registro
- Os registros podem conter várias informações confidenciais, como contas, senhas, etc.
(4) Gerenciamento centralizado de logs
- Envie o arquivo de log do servidor para o servidor de arquivo de log unificado
- Facilita a coleta, classificação e análise unificada de informações de registro
- Previna a perda acidental, adulteração maliciosa ou exclusão de informações de registro