一、什么是日志
日志用于记录系统、程序运行中发生的各种事件。通过日志可以排查解决故障,日志也是审计的基础。日志又分为系统日志(由系统服务rsyslog进行统一管理)、用户日志(记录用户登录登出系统的信息)以及程序日志(最为主要的日志,由各应用产生,如apache日志、nginx日志等)。
二、常见日志介绍
内核及公共消息日志:/var/log/messages
计划任务日志:/var/log/cron
系统引导日志:/var/log/dmesg
邮件服务日志:/var/log/maillog
用户登录验证日志:/var/log/secure
最近用户登录日志:/var/log/lastlog
用户登录日志:/var/log/wtmp(该文件是二进制文件,不能用cat、tail等命令访问,而是通过last命令来调用)
last命令:
用于显示所有用户的登录信息。根据读取到的/var/log/wtmp文件,将登录系统的用户名单全部显示出来,如图:
还有一个lastlog命令,可以查看到每个用户最后一次的登录情况
三、日志的管理策略:
1、延长日志保存期限
2、控制日志的访问权限,尤其涉及到用户敏感信息的日志
3、集中管理日志,将日志文件统一发送到日志文件服务器上,如rsyslogd,这样不但便于日志信息的收集整理,还可以防止日志的丢失或恶意篡改与删除等情况
四、rsyslogd服务的搭建:
1、从CentOS 6开始,rsyslogd服务取代了syslogd,在配置rsyslogd前需要了解下系统日志的8个级别:
0 EMERG(紧急):可能导致系统不可用的情况
1 ALERT(警报):必须马上解决的问题
2 CRIT(严重错误):比较严重的情况
3 ERR(错误):运行出现错误
4 WARNING(警告):可能会影响系统功能的情况
5 NOTICE(注意):普通提示信息,不影响系统
6 INFO(普通信息):一般信息
7 DEBUG(调试):程序调试用
2、rsyslogd一般会跟随系统默认安装,可以通过rpm命令查询下
3、rsyslogd主配置文件是/etc/rsyslog.conf,主要需要留意的就是RULES段里的配置,格式基本上就是“某某服务某某级别的日志需要记录在某某服务器上”,如图:
服务端安装好了后,客户端只需要修改rsyslogd配置文件,指明需要发送日志到哪台服务器,如
*.* @192.168.1.100:514
# none代表不发送日志,如cron.none
重启rsyslogd服务,然后在rsyslogd服务端上查看下日志,看下是否接受到了客户端发来的日志
发表评论: