Linux 日誌管理

2021-08-19 03:22:59 字數 3729 閱讀 5119

1.系統日誌

系統日誌是記錄系統中硬體、軟體和系統問題的資訊,同時還可以監視系統中發生的事件。使用者可以通過它來檢查錯誤發生的原因,或者尋找受到攻擊時攻擊者留下的痕跡。系統日誌包括系統日誌、應用程式日誌和安全日誌。

日誌類別

auth

表示使用者登入時產生的日誌(pam產生日誌)

authpriv

服務認證日誌(sshd認證)

kern

核心日誌

mail 

郵件日誌

lpr  

印表機日誌

cron

定時任務

local 1-7

使用者自定義

news  

新聞日誌

user

使用者相關程式

2.日誌級別

日誌級別

debug 

系統除錯資訊

info 

常規資訊

warning  

警告資訊

err 

報錯(級別低,阻止了某個功能不能正常工作)

crit   

報錯(級別高,阻止了某個軟體或整個系統不能正常工作)

alert

需要立即修改

emerg

核心崩潰

none 

不採集任何日誌      

[root@foundation79 ~]#vim /etc/rsyslog.conf               ##日誌配置檔案,可以指定檔案儲存日誌資訊。

auth.debug    /var/log/westos

auth.*        /var/log/auth

*.*           /var/log/log.all

檢視更改配置後產生的日誌檔案中資訊:

系統常用日誌

/var/log/messages    #所有日誌級別的常規資訊(不包含郵件,服務認證,定時任務)

/var/log/maillog    #郵件日誌

/var/log/secure    #服務認證日誌

/var/log/cron    #定時人物日誌

systemctl restart rsyslog.service    #改變採集日誌的配置檔案後必須要重啟,才可生效

> 日誌檔案    #清空檔案裡面的日誌記錄

w -f                 檢視連線的ip使用者資訊

3.日誌遠端同步

在日誌傳送方

[root@foundation79 ~]#vim /etc/rsyslog.conf

*.*                @172.25.254.100         #日誌接收方


利用udp同步日誌


15 $modload imudp         開啟接收外掛程式udp


16 $udpserverrun 514      開啟接受方埠


利用tcp同步日誌


18 # provides tcp syslog reception


19 #$modload imtcp


20 #$inputtcpserverrun 514
systemctl restart rsyslog       重啟日誌(更新日誌檔案)

systemctl stop firewalld        直接關閉防火牆

systemctl disable firewalld     預設關閉狀態

4.定義採集格式

vim /etc/rsyslog.conf

$template 格式名稱,「日誌採集格式」


*.info;mail...


$template westos,"%timegenerated% %fromhost-ip% syslog% %mag%\n"


%tim%                                 日誌生成時間


%fromhost-ip%              日誌**主機的ip


%sys                                    日誌生成程式


%msg                                   日誌內容


\n                                          換行


> /etc/rc.d/rc.local                清空本地日誌
journalctl      日誌檢視工具

-f           監控ctrl+c結束監控

-n 3         最新3行

-p err       檢視錯誤

--since 1:30 --until  1:31

-0 verbose  檢視日誌詳細引數  

_pin=...     檢視某程序日誌       

systemctl restart sshd

systemctl status sshd(檢視sshd的pin)

ps aux | grep journal    查詢 journal相關程序狀態

5、對 systemd-journald 管理

預設此程式只負責對日誌進行檢視而不對日誌進行儲存和採集

但是開機後再開機,對日誌進行檢視,只能檢視到開機後的日誌,系統之前的日誌因為是儲存在記憶體中的,所以關機後就被清空了,所以在開機後用 journalctl 看不到

1.讓systemd-journald儲存日誌到硬碟,步驟如下:

mkdir /var/log/journal    #建立乙個儲存關機前日誌的目錄

chgrp systemd-journald /var/log/journal    #修改目錄所屬組

chmod g+s /var/log/journal    #只能看到目錄許可權(加粘製位)改變後新的日誌

killall -1 systemd-journald    #對程式重新整理

journalctl    #檢視最新日誌

date    #看關機前時間

reboot    #重啟

journalctl    #檢視是否有關機前的日誌

w -f     檢視

vim /etc/hosts.deny

sshd:172.25.254.250

vim /etc/hosts.allow     

附錄:hostname set-hostname node1.example.com   主機名更改

排錯:(1) 防火牆未關閉  systemctl status firewalld

(2)日誌服務沒重啟 systemctl restart rsyslog

(3)rsyslog.conf配置檔案寫錯了:根據錯誤排錯

linux日誌管理

linux日誌管理 syslog是一種工業標準協議,可用於記錄裝置的日誌。這些日誌記錄了系統中發生的大大小小的事情。因此,它對於系統的安全性非常重要。它會將一些系統資訊記錄到登陸檔案中,常見的登陸檔案有以下幾種 l var log secure 記錄登陸系統訪問的資料檔案,例如pop3,ssh,te...

Linux日誌管理

摘要 linux日誌的介紹和管理,包括日誌輪轉方式和日誌伺服器啟用 一 日誌及常用日誌檔案 1.日誌 記錄系統在什麼時候由哪些程序做了什麼行為時,發生了什麼事。1.解決系統方面錯誤 排錯 2.解決網路服務問題 3.過往事件記錄 常見事件記錄 2.常見日誌 var log boot.log 開機啟動資...

Linux日誌管理

一 日誌服務簡介 在linux系統中,日誌服務是由rsyslogd服務提供的,我們先來檢視這個日誌服務是否啟動和自啟動 我們可以看到這個服務是預設開機自啟動的 下面我們來看下常見的日誌檔案的作用 除了系統預設日誌外,採用rpm包方式安裝的系統服務也會預設把日誌記錄在 var log 目錄中,原始碼包...