linux的日誌系統
作爲一名系統管理員,我們不可能時時刻刻都在服務器旁邊,而且也不可能爲了保證服務器不被***,這時系統的日誌就顯得很重要了,可以通過分析日子檢查系統的漏洞,提前預防和事後的修復。
系統在正常運行的日誌主要有syslog進程來提供,syslog又有syslogd和klogd兩部分組成,分別用來記錄系統日誌和內核日誌。而在啓動過程的日誌有其他的機制來提供。日誌系統的配置信息在/etc/syslog.conf。其中每行配置文件可分爲兩部分,有誰產生的信息,存放在那個地方。
對於產生的信息分了級別。可以通過 man syslog.conf中顯示。級別越高,記錄的信息越少。
而存放信息的位置可分爲以下幾部分:
1. /var/log/dmesg 記錄開機時的硬件信息
2. /var/log/message 默認的系統錯誤信息日誌
3. /var/log/maillog 郵件服務日誌
4. /var/log/secure 與安全有關及xineted相關日誌
5. /var/log/cudit/cudit.log 內核審計信息(aureport和ausearch專門查看)
對於/etc/syslog.conf的一行如:
mail.* -/var/log/maillog
分別表示:mail產生的任意級別的信息都被異步的寫入/var/log/maillog中。再如:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
表示任何信息只要級別高於info,但除了mail,authpriv,cron的信息都被記錄到/var/log/message中。
如果想要把日誌記錄到其他的主機中需要在本地主機中存儲位置改爲@192.168.0.100。IP地址爲專門提供日誌記錄的主機地址。同時還要在日誌服務器中的/etc/sysconfig/syslog配置文件中將SYSLOGD_OPTIONS="-m 0"改爲SYSLOGD_OPTIONS="-r -m 0"使其能夠記錄其他主機的日誌。
以下爲我做的日誌服務器的幾個抓圖
客戶機的配置和命令:
客戶機執行的命令分別爲:
1
2
客戶機的IP爲:
服務器的日誌變化爲:
對應第一個所得到的日誌爲
第二個命令得到的結果是:
以上爲我做的結果!