系統(tǒng)日志管理.ppt

1、系統(tǒng)日志管理,日志文件概述 系統(tǒng)的日志文件不僅可以讓管理員了解系統(tǒng)狀態(tài)，在系統(tǒng)出現(xiàn)問題時系統(tǒng)管理員可以查閱日志文件來確定系統(tǒng)當(dāng)前狀態(tài)、觀察入侵者蹤跡、尋找某特定程序(或事件)相關(guān)的數(shù)據(jù),日志和日志系統(tǒng)簡介,日志的主要用途 系統(tǒng)審計(jì)、監(jiān)測追蹤和分析統(tǒng)計(jì)。 日志系統(tǒng)的由來 Linux內(nèi)核由很多子系統(tǒng)組成，包括網(wǎng)絡(luò)、文件訪問、內(nèi)存管理等。 子系統(tǒng)需要給用戶傳送一些消息，這些消息內(nèi)容包括消息的來源及其重要性等。 所有的子系統(tǒng)都要把消息送到一個可以維護(hù)的公用消息區(qū)，于是，就有了syslog日志系統(tǒng)。 syslog syslog是一個綜合的日志記錄系統(tǒng)。 syslog主要功能 方便日志管理 分類存放日志

2、syslog的組成 日志守護(hù)進(jìn)程klogd：只處理內(nèi)核消息 日志守護(hù)進(jìn)程syslogd：處理其他系統(tǒng)消息,syslogd與klogd守護(hù)進(jìn)程,行的基本語法是： 選擇器 動作 注意：中間的分隔符必須是Tab 字符！ 選擇器是由“設(shè)備” 和“優(yōu)先級” 構(gòu)成，中間用點(diǎn)號連接。 動作“動作” 選項(xiàng)可以對日志進(jìn)行處理。可以把它存入硬盤，轉(zhuǎn)發(fā)到另一臺機(jī)器或顯示在管理員的終端上。,配置日志文件syslog.conf,動作： 文件名 寫入某個文件，要注意絕對路徑。 主機(jī)名 轉(zhuǎn)發(fā)給另外一臺主機(jī)的syslogd 程序。 IP 地址 同上，只是用IP 地址標(biāo)識而已。 /dev/console 發(fā)送到本地機(jī)器屏幕上。

3、 * 發(fā)送到所有用戶的終端上。 | 程序 通過管道轉(zhuǎn)發(fā)給某個程序。 例如：kern.emerg /dev/console( 一旦發(fā)生內(nèi)核的緊急狀況，立刻把信息顯示在控制臺上),選擇器-消息來源,“設(shè)備”代表信息產(chǎn)生的源頭，可以是： auth 認(rèn)證系統(tǒng)，即詢問用戶名和口令 cron 系統(tǒng)定時系統(tǒng)執(zhí)行定時任務(wù)時發(fā)出的信息 daemon 某些系統(tǒng)的守護(hù)程序的syslog,如由in.ftpd產(chǎn)生的log kern 內(nèi)核的syslog信息 lpr 打印機(jī)的syslog信息 mail 郵件系統(tǒng)的syslog信息 mark定時發(fā)送消息的時標(biāo)程序 news新聞系統(tǒng)的syslog信息 user 本地用戶應(yīng)用程序

4、的syslog信息 uucpuucp子系統(tǒng)的syslog信息 local0.7 種本地類型的syslog信息,這些信息可以又用戶來定義 * 代表以上各種設(shè)備,優(yōu)先級,“優(yōu)先級”代表信息的重要性，可以是： emerg 緊急，處于Panic狀態(tài)。通常應(yīng)廣播到所有用戶； alert 告警，當(dāng)前狀態(tài)必須立即進(jìn)行糾正。例如，系統(tǒng)數(shù)據(jù)庫崩潰； crit 關(guān)鍵狀態(tài)的警告。例如，硬件故障； err 其它錯誤； warning 警告； notice 注意；非錯誤狀態(tài)的報告，但應(yīng)特別處理； info 通報信息； debug 調(diào)試程序時的信息； none 通常調(diào)試程序時用，指示帶有none級別的類型產(chǎn)生的信息無需送

5、出。如*.debug;mail.none表示調(diào)試時除郵件信息外其它,日志文件syslog.conf,/將info或更高級別的消息送到/var/log/messages，除了mail以外。 /其中*是通配符，代表任何設(shè)備；none表示不對任何級別的信息進(jìn)行記錄。 *.info;mail.none;authpriv.none /var/log/messages /將authpirv設(shè)備的任何級別的信息記錄到/var/log/secure文件中，這主要是一些和權(quán)限使用相關(guān)的信息。 authpriv.* /var/log/secure /將mail設(shè)備中的任何級別的信息記錄到/var/log/mail

6、log文件中，這主要是和電子郵件相關(guān)的信息。 mail.* /var/log/maillog /將cron設(shè)備中的任何級別的信息記錄到/var/log/cron文件中，這主要是和系統(tǒng)中定期執(zhí)行的任務(wù)相關(guān)的信息。 cron.* /var/log/cron /將任何設(shè)備的emerg級別的信息發(fā)送給所有正在系統(tǒng)上的用戶。 *.emerg * /將uucp和news設(shè)備的crit級別的信息記錄到/var/log/spooler文件中。 uucp,news.crit /var/log/spooler /將和系統(tǒng)啟動相關(guān)的信息記錄到/var/log/boot.log文件中。 local7.* /var/l

7、og/boot.log,修改syslog.conf配置文件之后，必須通知syslogd和klogd重新讀取該配置文件，這樣改動才會生效。 Service syslog restart Kill HUP cat /var/run/syslogd.pid Kill HUP cat /var/run/klogd.pid killall -HUP syslog killall -HUP klog,常見的日志文件,所有的日志文件通常存放在“/var/log”目錄下。 為了查看日志文件的內(nèi)容必須要有“root”權(quán)限。 為了保證Linux系統(tǒng)正常運(yùn)行、準(zhǔn)確解決遇到的各種各樣的系統(tǒng)問題， 認(rèn)真地讀取日志文件是

8、管理員的一項(xiàng)非常重要的任務(wù)。 Linux系統(tǒng)中日志分為兩大類: 系統(tǒng)日志 應(yīng)用程序日志,常用日志文件,/var/log/boot.log /var/log/dmesg /var/log/messages /var/log/cron /var/log/lastlog /var/log/secure /var/log/wtmp ,查看文本日志文件,查看文本日志文件 使用cat、tac、more、less、tail和grep查看文本日志文件。 使用相關(guān)命令查看非文本日志文件 例如： 使用lastlog命令讀取日志文件/var/log/lastlog檢查用戶上次登錄的時間 # lastlog last

9、命令往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶 # last who命令查詢wtmp文件并報告當(dāng)前登錄的每個用戶 # who,圖形化管理系統(tǒng)日志,選擇“系統(tǒng)”|“管理”|“系統(tǒng)日志”命令，系統(tǒng)將打開“系統(tǒng)日志查看器”窗口 在“系統(tǒng)日志”窗口中，可看到系統(tǒng)包含了很多日志文件：引導(dǎo)日志、Cron日志、內(nèi)核啟動日志和郵件日志等。單擊某一日志文件，在窗口的右側(cè)將顯示該日志文件包含的信息。,分析日志文件,對日志文件進(jìn)行分析是必要的，因?yàn)槠渲邪岁P(guān)于Linux系統(tǒng)中所發(fā)生事件的有價值的記錄信息。這些信息可以用來檢查各種問題、觀察入侵者以及生成所在系統(tǒng)的統(tǒng)計(jì)信息 系統(tǒng)管理員應(yīng)該定期地對日志文

10、件進(jìn)行檢查，以發(fā)現(xiàn)潛在的問題，并在這些問題變得棘手之前解決 通過對日志文件的定期檢查，管理員會逐漸熟悉在日志文件中，哪些代表了正常行為、哪些代表發(fā)生了預(yù)期外的事件,轉(zhuǎn)儲日志文件,清除舊日志文件，騰出磁盤空間存儲新的日志信息 壓縮日志文件，并將其存儲在日志存檔介質(zhì)中，以作為系統(tǒng)活動的長期記錄 重命名并壓縮日志文件，以便于將來的進(jìn)一步研究 通常的日志轉(zhuǎn)儲系統(tǒng)存儲日志文件的周期為一個月，并為每星期生成單獨(dú)的存檔文件日志文件通常會被移動到其他目錄和文件系統(tǒng)(另外的硬盤或硬盤分區(qū))存儲，以便騰出根分區(qū)的空間。,日志滾動（1）,為什么使用日志滾動 所有的日志文件都會隨著時間的推移和訪問次數(shù)的增加而迅速增長

11、， 因此必須對日志文件進(jìn)行定期清理以免造成磁盤空間的不必要的浪費(fèi)。 日志滾動程序 Red Hat 下有一個專門的日志滾動處理程序logrotate logrotate能夠自動完成日志的壓縮、備份、刪除工作 系統(tǒng)默認(rèn)把logrotate加入到系統(tǒng)每天執(zhí)行的計(jì)劃任務(wù)中，這樣就省得管理員自己去處理了。,日志滾動（2）,logrotate的配置文件 /etc/logrotate.conf # cat /etc/logrotate.conf / 每周清理一次日志文件 weekly / 保存過去四周的日志文件 rotate 4 / 清除舊日志文件的同時，創(chuàng)建新的空日志文件 create / 包含/etc/logrotate.d目錄下的所有配置文件 include /etc/logrotate.d,/etc/logrotate.d目錄 # ls /etc/logrotate.d cups httpd mysqld named rpm samba snmpd syslog up2date vsftpd.log 每個文件的基本格式 # cat syslog /var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/ cron sharedscrip