日誌檔案的分類
(1)核心及系統日誌
由系統服務rsyslog管理,根據去主配置檔案
/etc/rsyslog.conf
中的設定決定將核心訊息及各種系統程式訊息記錄到什麼位置。
/etc/rsyslog.conf配置檔案中,常見的配置格式:
「.」 你後面等級要高(包含該等級)的都記錄
eg:「
*.info
」「.=
」 只記錄該等級
eg:「
.=debug」「!
」 除了該等級都記錄
eg:「
!info」「-
」 當有記錄資訊需要記錄時,現存到快取中,到一定大小時一次性寫入,以減少對磁碟讀寫效能的占用。
eg:「
-/var/log/maillog
」(2)使用者日誌
用於記錄linux系統使用者登入及退出系統的相關資訊,包括使用者名稱、登陸的終端、登入時間、**主機、正在使用的程序操作等
(3)程式日誌
用於記錄本程式執行過程中的各種事件資訊。
日誌訊息的級別
數字等級越小,優先順序越高,訊息越重要
日誌檔案分析
(1)核心及大多數系統訊息
存放位置:/var/log/message
內容解釋:
時間標籤:訊息發出的日期及時間
主機名:生成訊息的應用程式的名稱
子系統名稱:發出訊息的應用程式的名稱
訊息:訊息的具體內容
(2)使用者日誌
存放位置:/var/log/wtmp,
/var/log/btmp
,/var/log/lastlog
查詢命令:users、
who、w、
last
、lastlog
、lastb
/var/log/wtmp,乙個使用者每次登入進入和退出時間的永久記錄
/var/log/btmp,記錄失敗的記錄
/var/run/utmp,記錄當前登入的每個使用者
users命令
:簡單輸出當前使用者的使用者名稱,每乙個顯示的使用者名稱對應乙個會話
who命令:報告當前登入到系統中的每個使用者的資訊。預設輸出包括使用者名稱、終端型別、登入日期及遠端主機
w命令:顯示當前作業系統中的每個使用者及其遠端執行的程序資訊
last 命令:用於查詢成功登入到系統的使用者記錄,最近的登入情況在最前面
-a 把從何處登入系統的主機名稱或
ip位址,顯示在最後一行。
-d 將
ip位址轉換成主機名稱。
-f 指定記錄檔案。
-n 或
- 設定列出名單的顯示列數。
-r 不顯示登入系統的主機名稱或
ip位址。
-x 顯示系統關機,重新開機,以及執行等級的改變等資訊
lastlog命令:用於顯示系統中所有用最近一次登入資訊
lastb命令:用於顯示使用者錯誤的登入列表,此指令可以發現系統的登入異常
程式日誌
存放位置:不固定,一般在/var/log下的子目錄中
日誌檔案分析注意事項:
使用者在非常規的時間登入,或者使用者登入系統的ip位址和以往不一樣的;
使用者登入失敗的日誌記錄,尤其是那些一再連續嘗試進入失敗的日誌記錄;
非法使用或不正當使用超級使用者許可權;
無故或者非法啟動各項網路服務的記錄;
不正常的日誌記錄,如日誌殘缺不全,或者是諸如wtmp這樣的日誌檔案無故缺少了中間的記錄檔案。
日誌檔案的保護
# chattr +a 增加許可權
# chattr +a -r 遞迴式增加a許可權
Linux 日誌檔案系統
檔案系統要解決的乙個關鍵問題是怎樣防止掉電或系統崩潰造成資料損壞 在此類意外事件中,導致檔案系統損壞的根本原因在於寫檔案不是原子操作 因為寫檔案涉及的不僅僅是使用者資料,還涉及元資料 metadata 包括 superblock inode bitmap inode data block bitma...
linux系統中日誌檔案管理(日誌檔案分包)
在linux系統中,有乙個日誌總管,配置檔案在logrotate.conf和logrotate.d 內容如下 root bogon etc cat logrotate.conf see man logrotate for details rotate log files weekly weekly ...
linux系統日誌檔名
var log cron 定時日誌檔案 var log dmesg 記錄系統在開機的時候核心檢測過程所產生的各項資訊,由於centos預設講開機時核心的硬體檢測過程取消顯示,因此額外將資料記錄乙份在這個資料夾中 var log maillog 或 var log mial 記錄郵件往來資訊 var ...