1、日志系统 日志是系统运行信息的重要记录档案,可以帮助确定故障原因、运行状态和安全威胁等情况,系统管理员要非常熟悉各种不同的日志,调整设置,分析数据,及时做出合理的判断,并采取合适的措施。日志大类划分可以分为系统日志和应用日志,本节课讲述的是系统日志。1.日志目录 Linux 操作系统的系统日志一般存放在/var/log 目录中。可以 先 查看系统日志目录中的文件,熟悉常用的 系统 日志文件。/var/log 目录 中 日志文件比较多,主要的日志文件包括messages、secure、authrity、boot、wtmp、btmp、dmesg 等,还有 一些 带有日期 数字的 转储日志文件。2.
2、配置文件/etc/rsyslog.conf 日志 服务 的 配置 文件 是/etc/rsyslog.conf。文件 中 有 较多 注释 和 空行,可以 过滤掉 这些 次 要 内容,仅 显示 主 配置 行。系统日志的配置文件 局部 节选 示例如图 1所示。grep-vE$|#/etc/rsyslog.conf 图 1/etc/rsyslog.conf 配置文件节选 日志文件中关于日志的配置解读。日志配置行包括日志信息和记录文件两列。日志信息包括日志分类(图 2)和级别(图 3)。系 统 的 日 志 记 录 文 件 一 般 都 是 放 置 在/var/log 目录中。图 2 日志分类 图 3 日志
3、级别 级别的设置:-.级别 指记录高于等于某个级别的日志(严重性高于等于,编码低于等于)-.=级别 指记录等于某个级别的日志-.!级别 指除某个级别外全部记录-.none 指排除某个类别 根据 图 1中 的 设置,“*.info”表示 所有 分类 的 高于 info 级别 的 信息 都 记录 到 日志 文件/var/log/messages 中,但是 mail、a uthpriv、c ron 三个 分类 的 所有 信息 都 不要 记录 到 messages文件 中。mail 分类 的 所有 级别 的 日志 信息 都 记录 到/var/log/maillog 文件 中。authpriv 分类 的
4、 日志 信息 写入/var/log/secure 文件 中。c ron 分类 的 日志 信息 写入/var/log/cron 文件。3.自定义 日志 管理员 可以 使用 自定义 分类 管理 日志,对 特定 的 日志 进行 配置。这里 以 sshd 服务 的 日 志 为 例 说明 如何 定制 日志。sshd 的配置文件是/etc/ssh/sshd_config,其中 设置 了 日志 分类 为 authpriv,如图 4所示。图 4 ssh 日志类型 从日志配置文件 rsyslog.c onf 中(图 1)可以看到 authpriv.*的日志记录在/var/log/secure文件中。下面通过自定
5、义日志分类把 sshd 从中分离出来单独记录。步骤 1:修改/etc/ssh/sshd_config 文件中的日志分类为 local 0(图 5)。图 5 修改 sshd 日志 分类 步骤 2:修改/etc/rsyslog.conf 文件,增加 local 0分类的配置,将 sshd 服务 的 日志 信息 记 录 到/var/log/sshd.log 文件 中,如图 6所示。图 6 修改系统日志配置文件 步骤 3:重启 sshd 和 rsyslog 两个服务。#使用 systemctl 重启服务 systemctl restart sshd systemctl restart rsyslog
6、图 7 使用 systemctl 重启服务#使用 service 重启服务 service sshd restart service rsyslog restart 图 8 用 service 重启服务 步骤 4:查看/var/log/sshd 先查看会发现/var/log 中并没有出现 sshd.log 文件。另外开一个远程连接,登录成功后,再 查看就可以发现 sshd.log 文件出现了,且其内容记录了刚才 sshd 登录的信息。然后注销登录,就发现 sshd.log 文件中内容有增加了 退出连接的信息。如果 远程 连接 登录 的 时候,口 令 输入 错误,也会 记录 在 日志 文件 中。
7、思考:如何 用 tail 命令 及时 看到 sshd.log 文件的最新变化?tail-f/var/log/sshd.log 重新再重复一遍登录和注销的过程,看看 tail 命令是不是及时捕捉到了文件内容的变化。4.查看日志 文本日志 文本日志 就是 文本 文件,所以 其 内容 可以使用 cat、grep、cut 等文本查看和处理命令进行操作,帮助 管理员 进行分析。非文本日志 非日志文件的代表是 wtmp、btmp 和 dmesg 等 日志文件。w tmp 记录所有登录信息,使用 last 命令查看。b tmp 记录所有失败登录的信息,使用 lastb 命令查看文件。使用 last 命令和 lastb 命令查看两个非文本日志的内容信息,注意 无需 添加 文件名 作为参数。5.日志 实验 完成蓝桥云课日志实验的 任务。查找 root 帐户登录次数最多的前 5个 IP 地址。首先下载样例 wtmp 文件,并替换系统的 wtmp 文件。然后 参考 如下 提示 构造 完整 命令。last|grep.|tr.|cut.|s ort|uniq.|sort-nr|head.
