第十二章 Linux——日志管理
- 基本介绍
- 系统常用日志
- 日志管理服务
- 日志轮替
- 基本介绍
- 日志轮替文件命名
- logrotate配置文件
- 自定义加入日志轮转
- 应用实例
- 日志轮替机制原理
- 查看内存日志
基本介绍
- 日志文件是重要的系统信息文件,其中记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统
的安全信息、邮件相关信息、各种服务相关信息等。 - 日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因,或者受到攻击
时攻击者留下的痕迹。 - 可 以这样理解日志是用来记录重大事件的工具
系统常用日志
/var/log/目录就是系统日志文件的保存位置,看张图
系统常用日志
应用案例
使用root用户通过xshell6登陆,第一次使用错误的密码,第二次使用正确的密码登录成功
看看在日志文件/var/log/secure里有没有记录相关信息
日志管理服务
CentOS7.6日志服务是rsyslogd ,CentOS6.x 日志服务是syslogd。rsyslogd 功能更强大。rsyslogd 的使用、日志
文件的格式,和syslogd服务兼容的。原理示意图
查询Linux中的rsyslogd服务是否启动
ps aux | grep “rsyslog” I grep -V "grep’
查询rsyslogd服务的自启动状态
systemctl list-unit-files | grep rsyslog
配置文件: /etc/rsyslog conf
编辑文件时的格式为:
**
存放日志文件
其中第一个代表日志类型,第二个代表日志级别
-
日志类型分为:
auth ##pam产生的日志
authpriv ##ssh、ftp等登录信息的验证信息
corn ##时间任务相关
kern ##内核
lpr ##打印
mail ##邮件
mark(syslog) -rsyslog##服务内部的信息,时间标识
news ##新闻组
user ##用户程序产生的相关信息
uucp ##unix to nuix copy 主机之间相关的通信
local 1-7 #自定义的日志设备 -
日 志级别分为:
debug #有调试信息的,日志通信最多
info ##一般信息日志,最常用
notice ##最具有重要性的普通条件的信息
warning ##警告级别
err ##错误级别,阻止某个功能或者模块不能正常工作的信息
crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert ##需要立刻修改的信息
emerg ##内核崩溃等重要信息
none ##什么都不记录
注意:从上到下,级别从低到高,记录信息越来越少
由日志服务rsyslogd 记录的日志文件,日志文件的格式包含以下4列:
- 事件产生的时间
2)产生事件的服务 器的主机名
3)产生事件的服务名或程序名
4)事件的具体信 息
日志如何查看实例
查看一下/var/log/secure 日志,这个日志中记录的是用户验证和授权方面的信息来分析如何查看
V日志管理服务应用实例
在/etc/rsyslog. conf中添加一- 个日志文件/var/log/hsp.log,当有事件发送时(比如sshd服务相关事件),该文件会接收到.
信息并保存.给小伙伴演示重启,登录的情况,看看是否有日志保存
日志轮替
基本介绍
日志轮替就是把旧的日志文件移动并改名,同时建立新的空日志文件,当旧日志文件超出保存的范围之后,就会进行删除
日志轮替文件命名
- centos7 使用logrotate 进行日志轮替管理,要想改变日志轮替文件名字,通过/etc/logrotate .conf配置文件中“dateext"
参数: - 如果配置 文件中有“dateext” 参数,那么日志会用日期来作为日志文件的后缀,例如“ecure-20201010” 。这样日志文件名不会重叠,也就不需要日志文件的改名,只 需要指定保存日志个数,删除多余的日志文件即可。
- 如果配置文件中没有“dateext”参数,日志文件就需要进行改名了。当第一次进行日志轮替时,当前的“ecure” 日志会自动改名为“secure.1”,然后新建“secure”日志,用来保存新的日志。 当第二次进行日志轮替时,“secure.1”
会自动改名为“secure.2” ,当前的 “secure”日志会自动改名为“secure.1" ,然后也会新建“secure"日志,用来
保存新的日志,以此类推。
logrotate配置文件
/etc/logrotate .conf为logrotate 的全局配置文件
rotate log files weekly,每周对日志文件进行一次轮替
weekly
keep 4 weeks worth of backlogs,共保存4份日志文件,当建立新的日志文件时,旧的将会被删除
rotate 4
create new (empty) log files after rotating old ones,创建新的空的日志文件,在日志轮替后
create
usedateasasuffixoftherotatedfile,使用日期作为日志轮替文件的后缀
dateext
uncommentthisifyouwantyourlogfilescompressed,日志文件是否压缩。如果取消注释,则日志会在转储的同时进
行压缩.
compress
#RPM packages drop log rotation information into this directory
include /etc/logrotate.d
#包含/etc/logrotate.d/目录中所有的子配置文件。也就是说会把这个目录中所有子配置文件读取进来,
#下面是单独设置,优先级更高。
#no packages own wtmp and btmp - we’ll rotate them here
/var/log/wtmp {
monthly#每月对日志文件进行一-次轮替
create 0664 root utmp#建立的新日志文件,权限是0664,所有者是root ,所属组是utmp组.
minsize 1M
#日志文件最小轮替大小是1MB。也就是日志一定要超过1MB才会轮替,否则就算时间达到
一个月,也不进行日志转储
rotate 1 #仅保留一个日志备份。也就是只有wtmp和wtmp.1 日志保留而已
/var/log/btmp {
missingok#如果日志不存在,则忽略该日志的警告信息
monthly
create 0600 root utmp
rotate 1
create 0664 root utmp#建立的新日志文件,权限是0664,所有者是root ,所属组是utmp组.
minsize 1M
#日志文件最小轮替大小是1MB。也就是日志一定要超过1MB才会轮替,否则就算时间达到
一个月,也不进行日志转储
rotate 1 #仅保留一个日志备份。也就是只有wtmp和wtmp.1 日志保留而已
/var/log/btmp {
missingok#如果日志不存在,则忽略该日志的警告信息
monthly
create 0600 root utmp
rotate 1
sharedscripts
在此关键字之后的脚本只执行一次。
prerotate/endscript
在日志轮替之前执行脚本命令。
postrotate/endscript
在日志轮替之后执行脚本命令。
自定义加入日志轮转
- 第一种方法是直接在/etc/logrotate conf 配置文件中写入该日志的轮替策略
2)第二种方法是在/etc/logrotate d/目录中新建立该日志的轮替文件,在该轮替文件中写入正确的轮替策略,因为该目录
中的文件都会被“include”到主配置文件中,所以也可以把日志加入轮替。 - 推荐使用第二种方法,因为系统中需要轮替的日志非常多,如果全都直接写入/et/logrotate.conf 配置文件,那么这
个文件的可管理性就会非常差,不利于此文件的维护。
4)在/etc/logrotate.d/ 配置轮替文件- -览
应用实例
看一个案例,在/etc/logrotate .conf进行配置,或者直接在/etc/logrotate.d/ 下创建文件hsplog 编写如下内容,具体
轮替的效果可以参考/var/og下的boot log情况.
日志轮替机制原理
日志轮替之所以可以在指定的时间备份日志,是依赖系统定时任务。在/etc/cron.daily/目录, 就会发现这个目录中是
有logrotate文件(可执行),logrotate 通过这个文件依赖定时任务执行的。
查看内存日志
journalctl
可以查看内存日志,这里我们看看常用的指令
journalctl
#查看全部
journalctl -n3 #查看最新3 条
<journalctl-since19:00-until19:10:10#查看起始时间到结束时间的日志可加日期.
journalctl -perr ##报错日志
journalctl -o verbose #日志详细内容
journalctl_ PID=1245
COMM=sshd
##查看包含这些参数的日志(在详细日志查看)
或者journalctl| grep sshd
注意: journalctl查看的是内存日志, 重启清空
演示案例:
使用journalctl| grep sshd来 看看用户登录清空,重启系统,再次查询,看看日志有什么变化没有
