System Monitoring之"系统日志"
一、日志
/var/log/messages:记录了大多数的系统日志消息
/var/log/secure:验证方面相关的日志,还有xinetd服务的日志
/var/log/vsftpd.log:FTP(vsftpd)的日志
/var/log/maillog:邮件相关的日志
二、记录日志的服务
1、大部分daemon守护进程会把消息把给syslogd进程。
2、Kernel相关的消息由klogd进程进行管理。
三、syslogd与klogd的配置都存放在/etc/syslog.conf文件中
1、语法:facility.priority和log_location
facility指明要记录哪种服务的日志
priority指明优先等级
log_location指明日志的位置。若指明位置的路径前有"-",则表示此日志要先通过缓冲区。
2、facilities
authpriv:security/authorization messages
cron :clock daemon (atd and crond)
kern :kernel messages
lpr :printing system
mail :mail system
news :news system
syslog :internal syslog messages
3、priorities
debug :debugging information
info :general information messages
notice :normal,but significant,condition
warning :warning messages
err :error condition
crit :critical condition
alert :immediate action required
emerg :system no longer available
四、syslogd的高级配置
1、操作符
mail.info :mail messages with info and higher priority
mail.=info :mail messages with exact info
mail.=!info :mail messages except those with info
mail,cron.info :info messages from mail and cron
2、特殊的log_location
Comma-separated list of users :指明要将日志以邮件的方式发送给用户,若是多个用户则用逗号隔开。比如cat,dog。
Remote machine(@hostname) :指明要将日志存放到另一台计算机上,机器名前标上"@"符号。要注意的是,此时目标计算机的/etc/sysconfig/syslog文件中SYSLOGD_OPTIONS键要再加上值"-r"。
五、让监控日志的程序每小时执行一次,而不是每天才执行一次
mv /etc/cron.daily/00-logwatch /etc/cron.hourly
六、记录系统活动的报表
1、安装sysstat这个RPM包能够自动配置cron(配置文件为/etc/cron.d/sysstat),使cron能够记录系统的活动事件。
2、/etc/cron.d/sysstat配置文件中有两行配置:第一行表明让/usr/lib/sa/sa1程序每隔10分钟运行一次产生系统活动的报表;每二行表示让/usr/lib/sa2程序每天定时运行一次产生系统活动的报表。
3、sa2其实就是将sa1产生出来的资讯整理成Daily,即日报表。
4、/var/log/sa目录中记录着两种文件:"sa<数字>"与"sar<数字>"。前者由/usr/lib/sa/sa1程序每隔十分钟产生,后者由/usr/lib/sa/sa2程序每隔一天产生。
5、sar:即“System Activity Reporting”,此命令用来查看当天每隔10分隔就记录一次的系统动作的资讯。