/var/log

10年積累的做網(wǎng)站、網(wǎng)站設(shè)計(jì)經(jīng)驗(yàn)，可以快速應(yīng)對(duì)客戶對(duì)網(wǎng)站的新想法和需求。提供各種問題對(duì)應(yīng)的解決方案。讓選擇我們的客戶得到更好、更有力的網(wǎng)絡(luò)服務(wù)。我雖然不認(rèn)識(shí)你，你也不認(rèn)識(shí)我。但先網(wǎng)站設(shè)計(jì)制作后付款的網(wǎng)站建設(shè)流程，更有杜集免費(fèi)網(wǎng)站建設(shè)讓你可以放心的選擇與我們合作。

常用的系統(tǒng)日志如下：

核心啟動(dòng)日志：/var/log/messages

系統(tǒng)報(bào)錯(cuò)或重啟服務(wù)等日志：/var/log/messages

郵件系統(tǒng)日志：/var/log/maillog

cron(定制任務(wù)日志)：/var/log/cron #計(jì)劃日志執(zhí)行成功與否，在這個(gè)文件中

驗(yàn)證系統(tǒng)用戶登錄： /var/log/secure 

記錄所有的登錄和登出:/var/log/wtmp

每個(gè)用戶最后登入信息：/var/log/lastlog

錯(cuò)誤的登入信息：/var/log/btmp

>/var/log/wtmp #清空登入登出記錄

last #查看wtmp

lastlog #查看用戶最后登錄時(shí)間

lastb #查看錯(cuò)誤登入信息，可以判斷是否存在暴力破解

2.日志記錄方式： 先分類，然后每個(gè)類中再分級(jí)別

 

主要7種日志分類(FACILITY):

authpriv   安全認(rèn)證相關(guān)

cron       at和cron定時(shí)相關(guān)

daemon     后臺(tái)進(jìn)程相關(guān)

kern       內(nèi)核產(chǎn)生

lpr        打印系統(tǒng)產(chǎn)生

mail       郵件系統(tǒng)相關(guān)

syslog     日志服務(wù)本身

news       新聞系統(tǒng)  （和BBS差不多，新聞組）

uucp       uucp系統(tǒng)產(chǎn)生 。Unix-to-Unix Copy(UNIX至UNIX的拷貝)，Unix系統(tǒng)的一項(xiàng)功能，允許計(jì)算機(jī)之間以存儲(chǔ)-轉(zhuǎn)發(fā)方式交換e-mail和消息。在Internet興起之前是Unix系統(tǒng)之間連網(wǎng)的主要方式。

local0到local7   #共8個(gè)類型，系統(tǒng)保留的：8個(gè)系統(tǒng)日志類型，給其它程序使用。或用戶 自定義用

 

8個(gè)日志級(jí)別：以下排列，由輕到重

級(jí)別(PRIOROTY):

debug                 排錯(cuò)信息。開發(fā)人

info                  正常信息

notice                稍微要注意的

warn                  警告

err(error)            錯(cuò)誤

crit(critical)         關(guān)鍵的錯(cuò)誤

alert                 警報(bào)警惕

emerg(emergency)      緊急，突發(fā)事件

 

日志服務(wù)：

1).rhel5：

服務(wù)名稱：syslog

配置文件：

#vim /etc/syslog.conf

 

2) .RHEL6:rsyslog

配置文件：

#vim /etc/rsyslog.conf

 

3).RHEL7:rsyslog

配置文件：

#vim /etc/rsyslog.conf

 

進(jìn)入配置文件顯示內(nèi)容如下：

1. kern.*  內(nèi)核類型的所級(jí)別日志

2 *.info;mail.none;news.none;authpriv.none;cron.none：由于 mail, news, authpriv, cron 等類別產(chǎn)生的訊息較多，因此在 /var/log/messages 里面不記錄這些項(xiàng)目。除此其他訊息都寫入/var/log/messages 中。所以messages 文件很重要

3. authpriv.* 認(rèn)證方面的訊息均寫入 /var/log/secure 檔案；

4. mail.*：郵件方面的訊息則均寫入 /var/log/maillog 檔案；

5. cron.*：例行性工作排程均寫入 /var/log/cron 檔案；

6. local7.*：將本機(jī)開機(jī)時(shí)應(yīng)該顯示到屏幕的訊息寫入到 /var/log/boot.log 檔案中；

 

 

/etc/rsyslog.conf  中日志輸入規(guī)則：

 

例：

.  ：代表『比后面還要高的等級(jí)都被記錄下來』的意思，

例如： mail.info 代表只要是 mail 類型的信息，而且該信息等級(jí)高于 info (包括 info 本身)時(shí)，就會(huì)被記錄下來的意思。

.=  ：代表所需要的等級(jí)就是后面接的等級(jí)而已， 其他的都不要！

.!  ：代表不等于，亦即是除了該等級(jí)外的其他等級(jí)都記錄。

 

舉例：

cron.none   對(duì)于cron類型日志不記錄任何信息

cron.=err   對(duì)于cron類型日志只記錄err級(jí)別的信息

cron.err    對(duì)于cron類型日志記錄大于err級(jí)別的信息

cron.!err   對(duì)于cron類型日志不記錄err級(jí)別的信息，其他級(jí)別都記錄。

 

記錄日志的位置：

1、日志的相對(duì)路徑：通常就是放在 /var/log中

2、 存在遠(yuǎn)程日志服務(wù)器上

3、有時(shí)日志會(huì)直接彈出在屏幕上。類似于wall命令。

 

擴(kuò)展：

wall命令介紹：

       wall -- send a message to everybody’sterminal.

 

[root@localhost ~]#wall Today is nice day!!!

wall Today is nicedayvim /etc/rsyslog.conf !

 

Broadcast message fromroot@localhost.localdomain (pts/0) (Thu Dec 17 22:10:28 2015):

 

Today is nice dayvim/etc/rsyslog.conf !

 

這樣所有登錄Linux的虛端的用戶都會(huì)收到這個(gè)信息。

[root@localhost ~]# vim /etc/rsyslog.conf

mail.*                                                 -/var/log/maillog

 

在上面的第四行關(guān)于 mail 的記錄中，在記錄的檔案 /var/log/maillog 前面還有個(gè)減號(hào)『 - 』是干嘛用的？

由于郵件所產(chǎn)生的訊息比較多，因此我們希望郵件產(chǎn)生的訊息先儲(chǔ)存在速度較快的內(nèi)存中 (buffer) ，等到數(shù)據(jù)量夠大了才一次性的將所有數(shù)據(jù)都填入磁盤內(nèi)，這樣將有利于減少對(duì)磁盤讀寫的次數(shù)，減少IO讀寫開銷。另外，由于訊息是暫存在內(nèi)存內(nèi)，因此若不正常關(guān)機(jī)導(dǎo)致登錄信息未寫入到文檔中，可能會(huì)造成部分?jǐn)?shù)據(jù)的遺失。

 

自定義sshd服務(wù)的日志

[root@localhost ~]# vim /etc/rsyslog.conf

local0.*                                                /var/log/sshd.log

[root@localhost ~]#systemctl restart rsyslog.service

 

配置sshd服務(wù)的配置文件

[root@localhost ~]# vim /etc/ssh/sshd_config

SyslogFacility local0

[root@localhost ~]#systemctl restart sshd

 

[root@localhost ~]# ls /var/log/sshd.log

/var/log/sshd.log

[root@localhost ~]# cat!$

cat /var/log/sshd.log

Dec 17 22:18:38localhost sshd[35876]: Server listening on 0.0.0.0 port 22.

Dec 17 22:18:38localhost sshd[35876]: Server listening on :: port 22.

 

日志查看方式

時(shí)間    主機(jī)    進(jìn)程ID        執(zhí)行的操作

如何防止日志被***刪除呢？

[root@localhost ~]#chattr +a /var/log/sshd.log

[root@localhost ~]#lsattr /var/log/sshd.log

-----a----------/var/log/sshd.log

 

加入了這個(gè)屬性后，你的 /var/log/messages 登錄檔從此就僅能被增加，而不能被刪除，直到 root 以『 chattr -a /var/log/messages 』取消這個(gè) a 的參數(shù)后，才能被刪除移！

 

5.日志回滾：

logrotate（日志回滾過程： 創(chuàng)建新文件、改名舊文件。）

配置文件：

#vim/etc/logrotate.conf

[root@localhost ~]# vim /etc/logrotate.conf

weekly <==預(yù)設(shè)每個(gè)禮拜對(duì)日志檔進(jìn)行一次 rotate 的工作

 rotate  4<==保留幾個(gè)日志文檔呢？預(yù)設(shè)是保留四個(gè)！

 create <== 回滾日志后，創(chuàng)建一個(gè)新的空文件來存儲(chǔ)新的數(shù)據(jù)。

 

/var/log/wtmp {

    monthly

    create 0664 root utmp

        minsize 1M

    rotate 1

說明：

/var/log/wtmp { <==僅針對(duì) /var/log/wtmp 所設(shè)定的參數(shù)

日志管理
URL鏈接：http://chinadenli.net/article46/gjcgeg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供軟件開發(fā)、電子商務(wù)、網(wǎng)站收錄、ChatGPT、品牌網(wǎng)站建設(shè)、外貿(mào)網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)