博客网站排名nba最新排名东西部
一、基本介绍
1、日志是什么
日志文件是重要的系统信息文件,其中记录了许多重要的系统事件包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。
日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因或者受到攻击时攻击者留下的痕迹。
可以这样理解 日志是用来记录重大事件的工具
2、默认日志存放目录
/var/log/ 目录是系统日志文件的保存位置
3、系统常用日志
| 日志文件 | 说明 |
| /var/log/boot.log | 系统启动日志 |
| /var/log/corn | 记录与系统定时任务相关的日志 |
| /var/log/cups/ | 记录打印信息的日志 |
| /var/log/dmesg | 记录了系统在开机时内核自检的信息,也可以使用dmesg命令直接查看内核自检信息 |
| /var/log/btmp | 记录错误登录的日志,这个文件是二进制文件,不能直接使用vim或cat查看,而要是用lastb命令查看 |
| /var/log/lastlog | 记录系统中所有用户最后一次登录时间的日志,这个文件也是二进制文件,要使用lastlog命令查看 |
| /var/log/mailog | 记录邮件信息的日志 |
| /var/log/message | 记录系统重要消息的日志,这个日志文件中会记录Linux系统的绝大多数重要信息,如果系统出现问题,首先要检查的应该就是这个日志文件 |
| /var/log/secure | 记录验证和授权方面的信息,只要设计账户和密码的程序都会记录,如系统的登录、ssh的登录、su切换用户、sudo授权等,甚至添加用户和修改用户密码都会记录在这个日志文件中 |
| /var/log/wtmp | 永久记录所有用户的登录、注销信息,同时记录系统的启动、重启、关机等事件,是二进制文件,要使用lst命令查看 |
| /var/tun/ulmp | 记录当前已经登录的用户的信息,这个文件会随着用户的登录和注销不断变化,只记录当前登录用户的信息,这个文件不能用vim或cat查看,而要是用w、who、users等命令查看 |
1.lastlog
二进制文件,用cat 查看会输出乱码,直接使用lastlog命令查看
4、日志管理服务
CentOs7.6日志服务是 rsyslogd
CentOs6.x日志服务是 syslogd 。
rsyslogd 功能更强大。
rsyslogd 的使用、日志文件的格式,和 syslogd 服务兼容的。
1.日志管理服务和日志的关系
2.查询Linux中的 rsyslogd 服务是否启动
ps aux | grep "rsyslog" | grep -v "grep"
-v :改变匹配的含义,只选择不匹配的行,反选
3. 查询 rsyslogd 服务的自启动状态
systemctl list-unit-files | grep rsyslog
5、文件 /etc/rsyslog.conf
编辑文件时的格式为: *.*
第一个*代表日志类型,第二个*代表日志级别
1.日志类型
| 类型 | 说明 |
| auth | pam产生的日志 |
| authpriv | ssh、ftp等登录信息的验证信息 |
| corn | 时间任务相关 |
| kern | 内核 |
| lpr | 打印 |
| | 邮件 |
| makr(syslog)-rsyslog | 服务的内部信息,时间标识 |
| news | 新闻组 |
| user | 用户程序产生的相关信息 |
| uucp | unix to unix copy 主机之间相关的通信 |
| local 1-7 | 自定义的日志设备 |
2.日志级别
| 级别 | 说明 |
| debug | 有调试信息的,日志通信最多 |
| info | 一般信息日志,最常用 |
| notice | 最具有重要性普通条件的信息 |
| warning | 警告级别 |
| err | 错误级别,阻止某个功能或者模块不能正常工作的信息 |
| crit | 严重级别,阻止整个系统或者整个软件不能正常工作的信息 |
| alert | 需要立刻修改的信息 |
| emerg | 内核崩溃等重要信息 |
| none | 什么都不记录 |
从上到下,级别从低到高,记录信息越来越少
6、日志服务记录的日志文件
1.文件格式
由日志服务 rsyslogd 记录的日志文件,日志文件的格式包含以下 4 列:
事件产生的时间
产生事件的服务器的主机名
产生事件的服务名或程序名
事件的具体信息
2.日志查看实例
7、自定义日志
在文件 /etc/rsyslog.conf 中自定义日志格式
*.* /指定文件目录根据实际情况来设定日志类型和日志级别
二、日志轮替
1、基本介绍
日志轮替就是把旧的日志文件移动并改名,同时建立新的空日志文件,当旧日志文件超出保存的范围之后就会进行删除
2、日志轮替文件命名
centos7使用logrotate进行日志轮替管理,要想改变日志轮替文件名字,通过 /etc/logrotate.conf 配置文件中“dateext”参数:
如果配置文件中有“dateext”参数,那么日志会用日期来作为日志文件的后缀,例如“secure-20201010”。这样日志文件名不会重叠,也就不需要日志文件的改名,只需要指定保存日志个数,删除多余的日志文件即可。
如果配置文件中没有“dateext”参数,日志文件就需要进行改名了。当第一次进行日志轮替时,当前的 "secure” 日志会自动改名为,然后新建 “secure” 日志,用来保开的日志。当第二次 "secure.1" 进行日志轮替时,"secure.1" 会自动改名为 "secure.2” ,当前的 “secure" 日志会自动改名为 "secure.1”,然后也会新建 "secure”日志,用来保存新的日志,以此类推。
3、logrotate配置文件
1.参数说明
| 参数 | 说明 |
| daily | 日志的轮替周期是每天 |
| weekly | 日志的轮替周期是每周 |
| monthly | 日志的轮替周期是每月 |
| rotate 数字 | 保留的日志文件的个数。0指没有备份 |
| compress | 日志轮替时,旧的日志进行压缩 |
| create mode owner group | 建立新日志,同时指定新日志的权限与所有者和所属组 |
| mail address | 当日志轮替时,输出内容通过邮件发送到指定的邮箱地址 |
| missingok | 如果日志不存在,则忽略该日志的警告信息 |
| notifempty | 如果日志为空文件,则不进行日志轮替 |
| minsize 大小 | 日志轮替的最小值,也就是日志一定要达到这个最小值才会轮替,否则就算时间达到也不轮替 |
| size | 日志只有大于指定大小才进行日志轮替,而不是俺时间轮替 |
| dateext | 使用日期作为日志轮替文件的后缀 |
| sharedscripts | 在此关键字之后的脚本只执行一次 |
| preotate / endscript | 在日志轮替之前执行脚本命令 |
| postrotate / endscript | 在日志轮替之后执行脚本命令 |
2.将自己的日志加入日志轮替
(1)直接在 /etc/logrotate.conf 配置文件中写入该日志的轮替策略
(2)在 /etc/logrotate.d/ 目录中新建立该日志的轮替文件,在该轮替文件中写入正确的轮替策略,因为该目录中的文件都会被 "include" 到主配置文件中,所以也可以把日志加入轮替
4、日志轮替机制原理
日志轮替之所以可以在指定的时间备份日志,是依赖系统定时任务。在 /etc/cron.daily/ 目录,就会发现这个目录中是有 logrotate 文件(可执行),logrotate 通过这个文件依赖定时任务执行的。
crond 每天执行 logrotate
5、查看内存日志
1.基本语法
journalctl :查看内存日志
2.常用指令
journalctl :查看全部
journalctl -n 3 : 查看最新3条
journalctl --since 19:00 --until 19:10:10 :查看起始时间到结束时间的日志,可加日期
journalctl -p err:报错日志
journalctl -o verbose:日志详细内容
journalctl _PID=1234 _COMM=sshd :查看包含这些参数的日志,在详细日志查看
journalctl | grep sshd:查看包含ssh的内存日志
注:journalctl 查看的是内存日志,重启系统会清空
3.示例
使用 journalctl | grep sshd 来查看用户登录,重启系统后再次查询,查看日志变化
重启系统
再次查看
