系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监控系统中发生的事件。用户可以通过它来检查错误发生的的原因,或者寻找受到攻击时攻击者留下的痕迹。

  Windows的事件查看器就是一个日志系统。Linux的日志系统则是通过安装sysklogd这个软件包形成了两个服务:

  /sbin/klogd  针对硬件(针对内核所产生的,很多和硬件相关)

  /sbin/syslogd 针对软件(系统的日志服务器)

  查看硬件方面的日志:

  [root@localhost ~]# dmesg |grep -i cpu 查看CPU的相关信息

  [root@localhost ~]# dmesg |grep -i mem  查看内存的相关信息

  [root@localhost ~]# dmesg |grep -i eth0  查看eth0的相关信息

  网络设备:路由器、防火墙、交换机等都有自己的日志能力。

  日志的作用是:让我们及时了解系统的变化,从而帮助我们做一些诊断。

  日志的分类文件:/etc/syslog.conf

  

  

  从man手册中可以看出,日志分类文件的第一列表示日志的类型以及日志的级别,第二列表示对第一列所指定的日志采取的动作。

  通常采取的动作由三种:

  1、将指定类型日志写到文件中(文件名)

  2、将指定类型日志发给每个当前登录到系统的用户(*)

  3、将指定类型日志发到别的日志服务器上(@地址)

  在linux上实现日志服务器:

  1、开启日志服务

  

  系统默认已经开启。

  2、编辑配置文件

  

  添加-r选项,表示允许记录来自于别的主机的日志。

  3、重启服务

  

  至此,日志服务器就配置完成了。接下来打开另外一个linux虚拟机,作为应用服务器,也就是日志架构中的客户端,进行测试。

  4、测试:

  在客户端编辑 /etc/syslog.conf文件,修改动作列为:@日志服务器地址。并重启日志服务。

  

  在服务器上观察客户端发送的日志信息。

  

  可以看到服务器端显示了客户端的日志信息。

  Windows实现日志服务器:需要安装一个第三方软件 Kiwi_Syslogd 日志服务器。