日志管理

/var/log

常用的系統日志如下：

核心啟動日志：/var/log/messages

系統報錯或重啟服務等日志：/var/log/messages

郵件系統日志：/var/log/maillog

cron(定制任務日志)：/var/log/cron #計劃日志執行成功與否，在這個文件中

驗證系統用戶登錄： /var/log/secure 

記錄所有的登錄和登出:/var/log/wtmp

每個用戶最后登入信息：/var/log/lastlog

錯誤的登入信息：/var/log/btmp

>/var/log/wtmp #清空登入登出記錄

last #查看wtmp

lastlog #查看用戶最后登錄時間

lastb #查看錯誤登入信息，可以判斷是否存在暴力破解

2.日志記錄方式： 先分類，然后每個類中再分級別

主要7種日志分類(FACILITY):

authpriv   安全認證相關

cron       at和cron定時相關

daemon     后臺進程相關

kern       內核產生

lpr        打印系統產生

mail       郵件系統相關

syslog     日志服務本身

news       新聞系統  （和BBS差不多，新聞組）

uucp       uucp系統產生 。Unix-to-Unix Copy(UNIX至UNIX的拷貝)，Unix系統的一項功能，允許計算機之間以存儲-轉發方式交換e-mail和消息。在Internet興起之前是Unix系統之間連網的主要方式。

local0到local7   #共8個類型，系統保留的：8個系統日志類型，給其它程序使用。或用戶 自定義用

8個日志級別：以下排列，由輕到重

級別(PRIOROTY):

debug                 排錯信息。開發人

info                  正常信息

notice                稍微要注意的

warn                  警告

err(error)            錯誤

crit(critical)         關鍵的錯誤

alert                 警報警惕

emerg(emergency)      緊急，突發事件

日志服務：

1).rhel5：

服務名稱：syslog

配置文件：

#vim /etc/syslog.conf

2) .RHEL6:rsyslog

配置文件：

#vim /etc/rsyslog.conf

3).RHEL7:rsyslog

配置文件：

#vim /etc/rsyslog.conf

進入配置文件顯示內容如下：

1. kern.*  內核類型的所級別日志

2 *.info;mail.none;news.none;authpriv.none;cron.none：由于 mail, news, authpriv, cron 等類別產生的訊息較多，因此在 /var/log/messages 里面不記錄這些項目。除此其他訊息都寫入/var/log/messages 中。所以messages 文件很重要

3. authpriv.* 認證方面的訊息均寫入 /var/log/secure 檔案；

4. mail.*：郵件方面的訊息則均寫入 /var/log/maillog 檔案；

5. cron.*：例行性工作排程均寫入 /var/log/cron 檔案；

6. local7.*：將本機開機時應該顯示到屏幕的訊息寫入到 /var/log/boot.log 檔案中；

/etc/rsyslog.conf  中日志輸入規則：

例：

.  ：代表『比后面還要高的等級都被記錄下來』的意思，

例如： mail.info 代表只要是 mail 類型的信息，而且該信息等級高于 info (包括 info 本身)時，就會被記錄下來的意思。

.=  ：代表所需要的等級就是后面接的等級而已， 其他的都不要！

.!  ：代表不等于，亦即是除了該等級外的其他等級都記錄。

舉例：

cron.none   對于cron類型日志不記錄任何信息

cron.=err   對于cron類型日志只記錄err級別的信息

cron.err    對于cron類型日志記錄大于err級別的信息

cron.!err   對于cron類型日志不記錄err級別的信息，其他級別都記錄。

記錄日志的位置：

1、日志的相對路徑：通常就是放在 /var/log中

2、 存在遠程日志服務器上

3、有時日志會直接彈出在屏幕上。類似于wall命令。

擴展：

wall命令介紹：

       wall -- send a message to everybody’sterminal.

[root@localhost ~]#wall Today is nice day!!!

wall Today is nicedayvim /etc/rsyslog.conf !

Broadcast message fromroot@localhost.localdomain (pts/0) (Thu Dec 17 22:10:28 2015):

Today is nice dayvim/etc/rsyslog.conf !

這樣所有登錄Linux的虛端的用戶都會收到這個信息。

[root@localhost ~]# vim /etc/rsyslog.conf

mail.*                                                 -/var/log/maillog

在上面的第四行關于 mail 的記錄中，在記錄的檔案 /var/log/maillog 前面還有個減號『 - 』是干嘛用的？

由于郵件所產生的訊息比較多，因此我們希望郵件產生的訊息先儲存在速度較快的內存中 (buffer) ，等到數據量夠大了才一次性的將所有數據都填入磁盤內，這樣將有利于減少對磁盤讀寫的次數，減少IO讀寫開銷。另外，由于訊息是暫存在內存內，因此若不正常關機導致登錄信息未寫入到文檔中，可能會造成部分數據的遺失。

自定義sshd服務的日志

[root@localhost ~]# vim /etc/rsyslog.conf

local0.*                                                /var/log/sshd.log

[root@localhost ~]#systemctl restart rsyslog.service

配置sshd服務的配置文件

[root@localhost ~]# vim /etc/ssh/sshd_config

SyslogFacility local0

[root@localhost ~]#systemctl restart sshd

[root@localhost ~]# ls /var/log/sshd.log

/var/log/sshd.log

[root@localhost ~]# cat!$

cat /var/log/sshd.log

Dec 17 22:18:38localhost sshd[35876]: Server listening on 0.0.0.0 port 22.

Dec 17 22:18:38localhost sshd[35876]: Server listening on :: port 22.

日志查看方式

時間    主機    進程ID        執行的操作

如何防止日志被***刪除呢？

[root@localhost ~]#chattr +a /var/log/sshd.log

[root@localhost ~]#lsattr /var/log/sshd.log

-----a----------/var/log/sshd.log

加入了這個屬性后，你的 /var/log/messages 登錄檔從此就僅能被增加，而不能被刪除，直到 root 以『 chattr -a /var/log/messages 』取消這個 a 的參數后，才能被刪除移！

5.日志回滾：

logrotate（日志回滾過程： 創建新文件、改名舊文件。）

配置文件：

#vim/etc/logrotate.conf

[root@localhost ~]# vim /etc/logrotate.conf

weekly <==預設每個禮拜對日志檔進行一次 rotate 的工作

 rotate  4<==保留幾個日志文檔呢？預設是保留四個！

 create <== 回滾日志后，創建一個新的空文件來存儲新的數據。

/var/log/wtmp {

    monthly

    create 0664 root utmp

        minsize 1M

    rotate 1

說明：

/var/log/wtmp { <==僅針對 /var/log/wtmp 所設定的參數

向AI問一下細節