一、日志文件说明
日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
日志文件的分类
内核及系统日志
由系统服务syslog统一进行管理,日志格式基本相似
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
日志文件的分类
内核及系统日志
由系统服务syslog统一进行管理,日志格式基本相似
用户日志
记录系统用户登录及退出系统的相关信息
程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
? 内核及公共消息日志
? /var/log/messages
? 计划任务日志
? /var/log/cron
? 系统引导日志
? /var/log/dmesg
? 邮件系统日志
? /var/log/maillog
? 用户登录日志
? /var/log/lastlog
? /var/log/secure
? /var/log/wtmp
? /var/run/btmp
二、内核及系统日志
由系统服务 rsyslogd 统一管理
软件包:rsyslog-7.4.7-16.el7.x86_64
主要程序:/sbin/rsyslogd
配置文件:/etc/rsyslog.conf
日志消息的级别
0 EMERG(紧急):会导致主机系统不可用的情况
1 ALERT(警告):必须马上采取措施解决的问题
2 CRIT(严重):比较严重的情况
3 ERR(错误):运行出现错误
4 WARNING(提醒):可能会影响系统功能的事件
5 NOTICE(注意):不会影响系统但值得注意
6 INFO(信息):一般信息
7 DEBUG(调试):程序或系统调试信息等
日志记录的样式
安全日志
保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录事件
/var/log/wtmp:用户登录、注销及系统开、关机事件
/var/run/utmp:当前登录的每个用户的详细信息
/var/log/secure:与用户验证相关的安全性事件
分析工具
users 、who、w、last、lastb
由相应的应用程序独立进行管理
Web服务:/var/log/httpd/
access_log、error_log
代理服务:/var/log/squid/
access.log、cache.log、
FTP服务:/var/log/xferlog
分析工具
文本查看、grep过滤检索、Webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
Webalizer、Awstats等专用日志分析工具
日志文件管理方案:
及时作好备份和归档
延长日志保存期限
控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等
集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除
三、日志管理配置
记录日志服务的主配置文件:/etc/rsyslog.conf
第一块:Modules模块加载
第二块:Global Directory全局文件夹配置
第三块:rules规则
服务.级别 记录的文件及路径 //级别包括8个级别
建立日志服务器
如何建立日志同步服务器
1.说明 (日志发送机+日志服务器)(日志发送机就是传统的服务器,需要外发自己的日志)
2.本地存日志---同步---远程存日志
2.确定日志发送机3件事情:1)发什么日志? 2)怎么发?3)发给谁?
登录用户操作 日志协议514 目标服务器信息
确定日志服务器3件事情:1)确保日志服务开启 2)收谁的? 3)怎么收?
配置接收日志选项 来源IP 建立指定路径
-日志发送机:vi /etc/rsyslog.conf 79行
服务.级别 @@TCP协议 IP地址:514
如:authpriv.* @@172.18.11.83:514
service rsyslog restart
-日志服务器(接收)配置文件修改 vi /etc/rsyslog.conf
第一块内容:13-14行UDP去掉# 17-18行TCP去掉# //注意,注释是有讲究的,空格
查看开启以下象如下内容示例
Provides UDP syslog reception
$ModLoad imudp
$UDPServerRun 514
Provides TCP syslog reception
$ModLoad imtcp
$InputTCPServerRun 514
第二块内容:确定全局日志配置文件的文件夹状态:
$IncludeConfig /etc/rsyslog.d/*.conf
保存退出
建立来源IP接收日志配置(需手动建立),如:
/etc/rsyslog.d/172.18.11.67.conf
内容如下:
格式: :属性, 比较操作符, "值" 日志文件路径
属性包括:fromhost,fromhost-ip,msg,hostname
操作符包括:contains,isequal,startswith
例如:
:fromhost-ip, isequal, “172.18.11.67” /var/log/receive/secdenglu.log
注:子文件夹不需要手动建立,重启服务器后会自动生成。
重启服务并观察端口 systemctl restart rsyslog 并检查是否生成client文件夹及log文件
远程登录查看日志变化是否同步
作业:
原文地址:http://blog.51cto.com/jxwpx/2316955