學會查看日誌的重要性:便於定位問題,及時解決問題,及時處理故障。
日誌的類型:
1.內核及系統日誌:由系統rsyslog統一管理,根據其主配置文件/etc/rsyslog.conf中的設置決定將內核消息及各種系統程序消息記錄到系統的文件位置中。特點:由rsyslog管理,日誌記錄具有相似的格式。
2.用戶日誌:記錄Linux操作系統用戶登錄,退出系統的相關信息,包括用戶名,登錄終端,登錄時間,來源主機,正砸使用的進程操作等信息。
3.程序日誌:應用程序由自己獨立管理一份日誌文件,用於記錄本程序運行過程中的各種事件信息。由程序本身負責管理,不同程序所使用的日誌記錄格式可能會存在很大的差異。
常見日誌文件:
| 路徑 | 說明 |
| /var/log/messages | 記錄Linux內核消息及各種應用程序的公共日誌信息 |
| /var/log/cron | 記錄crond計劃任務產生的事件信息 |
| /var/log/dmesg | 記錄Linux操作系統在引導過程中的各種事件信息 |
| /var/log/maillog | 記錄進入或發出系統的電子郵件活動 |
| /var/log/secure | 記錄用戶認證相關的安全事件信息 |
| /var/log/wtmp | 記錄每個用戶登錄,註銷及系統啓動和停機事件 |
| /var/log/btmp | 記錄失敗的,錯誤的登錄嘗試及驗證事件 |
日誌的優先級別:數字等級越小,優先級越高,消息越重要
| 級別 | 英文檔次 | 中文釋義 | 說明 |
| 0 | EMERG | 緊急 | 會導致主機系統不可用的情況 |
| 1 | ALERT | 警告 | 必須馬上採取措施解決的問題 |
| 2 | CRIT | 嚴重 | 比較嚴重的情況 |
| 3 | ERR | 錯誤 | 運行出現錯誤 |
| 4 | WARNING | 提醒 | 可能影響系統功能,需要提醒用戶的重要事件 |
| 5 | NOTICE | 注意 | 不會影響正常功能,但是需要注意的事件 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 調試 | 程序或系統調試信息等 |
用戶日誌相關命令:
1.users :輸出當前登錄用戶的名稱,每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個登錄會話,那他的用戶名將顯示與其相同的次數。
2.who:用戶報告當前登錄到系統得每個用戶得信息。使用該命令,系統管理員可以查看當前該系統存在哪些不合法用戶,從而對其進行審計和處理,who得默認輸出包括用戶名,終端類型,登錄日期及遠程主機。
3.w:用戶顯示系統中得每個用戶及其所運行得進程信息,比users,who命令得輸出內容更豐富些。
4.last:用於查詢成功登錄到系統得用戶記錄,最近得登錄情況將顯示在最前面。通過last命令可以及時掌握Linux主機得登錄情況,若發現未經授權得用戶登錄過,則表示當前主機可能被入侵。
5.lastb:用於查詢登錄失敗得用戶記錄,如登錄得用戶名錯誤,密碼不正確等情況都將記錄在案。登錄失敗得情況屬於安全事件,因爲這表示可能有人在嘗試猜解你得密碼。
