/var/log

常用的系統(tǒng)日志如下：

核心啟動日志：/var/log/messages

系統(tǒng)報錯或重啟服務(wù)等日志：/var/log/messages

郵件系統(tǒng)日志：/var/log/maillog

cron(定制任務(wù)日志)：/var/log/cron #計劃日志執(zhí)行成功與否，在這個文件中

驗證系統(tǒng)用戶登錄： /var/log/secure

記錄所有的登錄和登出:/var/log/wtmp

每個用戶最后登入信息：/var/log/lastlog

錯誤的登入信息：/var/log/btmp

>/var/log/wtmp #清空登入登出記錄

last #查看wtmp

lastlog #查看用戶最后登錄時間

lastb #查看錯誤登入信息，可以判斷是否存在暴力破解

2.日志記錄方式： 先分類，然后每個類中再分級別

主要7種日志分類(FACILITY):

authpriv安全認(rèn)證相關(guān)

cron at和cron定時相關(guān)

daemon后臺進(jìn)程相關(guān)

kern內(nèi)核產(chǎn)生

lpr打印系統(tǒng)產(chǎn)生

mail郵件系統(tǒng)相關(guān)

syslog日志服務(wù)本身

news新聞系統(tǒng) （和BBS差不多，新聞組）

uucp uucp系統(tǒng)產(chǎn)生 。Unix-to-Unix Copy(UNIX至UNIX的拷貝)，Unix系統(tǒng)的一項功能，允許計算機之間以存儲-轉(zhuǎn)發(fā)方式交換e-mail和消息。在Internet興起之前是Unix系統(tǒng)之間連網(wǎng)的主要方式。

local0到local7 #共8個類型，系統(tǒng)保留的：8個系統(tǒng)日志類型，給其它程序使用?；蛴脩?自定義用

8個日志級別：以下排列，由輕到重

級別(PRIOROTY):

debug排錯信息。開發(fā)人

info正常信息

notice稍微要注意的

warn警告

err(error) 錯誤

crit(critical)關(guān)鍵的錯誤

alert警報警惕

emerg(emergency)緊急，突發(fā)事件

日志服務(wù)：

1).rhel5：

服務(wù)名稱：syslog

配置文件：

#vim /etc/syslog.conf

2) .RHEL6:rsyslog

配置文件：

#vim /etc/rsyslog.conf

3).RHEL7:rsyslog

配置文件：

#vim /etc/rsyslog.conf

進(jìn)入配置文件顯示內(nèi)容如下：

1. kern.*內(nèi)核類型的所級別日志

2 *.info;mail.none;news.none;authpriv.none;cron.none：由于 mail, news, authpriv, cron 等類別產(chǎn)生的訊息較多，因此在 /var/log/messages 里面不記錄這些項目。除此其他訊息都寫入/var/log/messages 中。所以messages 文件很重要

3. authpriv.*認(rèn)證方面的訊息均寫入 /var/log/secure 檔案；

4. mail.*：郵件方面的訊息則均寫入 /var/log/maillog 檔案；

5. cron.*：例行性工作排程均寫入 /var/log/cron 檔案；

6. local7.*：將本機開機時應(yīng)該顯示到屏幕的訊息寫入到 /var/log/boot.log 檔案中；

/etc/rsyslog.conf中日志輸入規(guī)則：

例：

. ：代表『比后面還要高的等級都被記錄下來』的意思，

例如： mail.info 代表只要是 mail 類型的信息，而且該信息等級高于 info (包括 info 本身)時，就會被記錄下來的意思。

.=：代表所需要的等級就是后面接的等級而已， 其他的都不要！

.!：代表不等于，亦即是除了該等級外的其他等級都記錄。

舉例：

cron.none對于cron類型日志不記錄任何信息

cron.=err對于cron類型日志只記錄err級別的信息

cron.err對于cron類型日志記錄大于err級別的信息

cron.!err對于cron類型日志不記錄err級別的信息，其他級別都記錄。

記錄日志的位置：

1、日志的相對路徑：通常就是放在 /var/log中

2、 存在遠(yuǎn)程日志服務(wù)器上

3、有時日志會直接彈出在屏幕上。類似于wall命令。

擴展：

wall命令介紹：

?wall -- send a message to everybody’sterminal.

[root@localhost ~]#wall Today is nice day!!!

wall Today is nicedayvim /etc/rsyslog.conf !

Broadcast message fromroot@localhost.localdomain (pts/0) (Thu Dec 17 22:10:28 2015):

Today is nice dayvim/etc/rsyslog.conf !

這樣所有登錄Linux的虛端的用戶都會收到這個信息。

[root@localhost ~]# vim /etc/rsyslog.conf

mail.*-/var/log/maillog

在上面的第四行關(guān)于 mail 的記錄中，在記錄的檔案 /var/log/maillog 前面還有個減號『 - 』是干嘛用的？

由于郵件所產(chǎn)生的訊息比較多，因此我們希望郵件產(chǎn)生的訊息先儲存在速度較快的內(nèi)存中 (buffer) ，等到數(shù)據(jù)量夠大了才一次性的將所有數(shù)據(jù)都填入磁盤內(nèi)，這樣將有利于減少對磁盤讀寫的次數(shù)，減少IO讀寫開銷。另外，由于訊息是暫存在內(nèi)存內(nèi)，因此若不正常關(guān)機導(dǎo)致登錄信息未寫入到文檔中，可能會造成部分?jǐn)?shù)據(jù)的遺失。

自定義sshd服務(wù)的日志

[root@localhost ~]# vim /etc/rsyslog.conf

local0.* /var/log/sshd.log

[root@localhost ~]#systemctl restart rsyslog.service

配置sshd服務(wù)的配置文件

[root@localhost ~]# vim /etc/ssh/sshd_config

SyslogFacility local0

[root@localhost ~]#systemctl restart sshd

[root@localhost ~]# ls /var/log/sshd.log

/var/log/sshd.log

[root@localhost ~]# cat!$

cat /var/log/sshd.log

Dec 17 22:18:38localhost sshd[35876]: Server listening on 0.0.0.0 port 22.

Dec 17 22:18:38localhost sshd[35876]: Server listening on :: port 22.

日志查看方式

時間 主機 進(jìn)程ID 執(zhí)行的操作

如何防止日志被***刪除呢？

[root@localhost ~]#chattr +a /var/log/sshd.log

[root@localhost ~]#lsattr /var/log/sshd.log

-----a----------/var/log/sshd.log

加入了這個屬性后，你的 /var/log/messages 登錄檔從此就僅能被增加，而不能被刪除，直到 root 以『 chattr -a /var/log/messages 』取消這個 a 的參數(shù)后，才能被刪除移！

5.日志回滾：

logrotate（日志回滾過程： 創(chuàng)建新文件、改名舊文件。）

配置文件：

#vim/etc/logrotate.conf

[root@localhost ~]# vim /etc/logrotate.conf

weekly <==預(yù)設(shè)每個禮拜對日志檔進(jìn)行一次 rotate 的工作

rotate 4<==保留幾個日志文檔呢？預(yù)設(shè)是保留四個！

create <==回滾日志后，創(chuàng)建一個新的空文件來存儲新的數(shù)據(jù)。

/var/log/wtmp {

?monthly

?create 0664 root utmp

?minsize 1M

?rotate 1

說明：

/var/log/wtmp { <==僅針對 /var/log/wtmp 所設(shè)定的參數(shù)

了解更多相關(guān)內(nèi)容歡迎關(guān)注http://www.vecloud.com/