Loading

Linux 日志管理基础

基本介绍

  • 日志文件是重要的系统信息文件,其中记录了许多重要的系统事件。包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。
  • 日志对于安全来说也很重要。它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。
  • 可以这样理解 日志是用来记录重大事件的工具

日志的存放

存放目录与存放内容

  1. 日志存放目录: /var/log/
    log.png

  2. 基本系统日志
    contant.png

  3. 日志内容:格式包含四列

    • 事件产生的时间【时间】
    • 产生事件的服务器的主机名【地点】
    • 产生事件的服务名或程序名【人物】
    • 事件的具体信息【事件】

举例说明

  • 使用root用户通过xshell6登陆,第一次使用错误的密码,第二次使用正确的密码登录成功看看在日志文件/var/log/sequre里有没有记录相关信息

  • secure.png

日志管理服务: rsyslogd

功能与配置

  • rsyslogd 是一项日志管理服务,将不同的系统信息分类记录到对应的目录文件下。
  • rsyslogd 的配置文件是/etc/rsyslog.conf , 通过修改配置文件可以定制日志
  • 原理示意图
    rsyslogd.png

检查自启动

  • 检查是否启动: ps -aux | grep rsyslog | grep -v grep
  • 检查自启动状态: systemctl list-unit-files | grep rsyslog

配置文件 /etc/rsyslog.conf

编辑文件时的格式为:.
其中第一个代表日志类型,第二个代表日志级别

  1. 日志类型
    日志级别1.png

  2. 日志级别
    日志级别2.png

修改配置文件

  • 日志管理服务应用实例
    在/etc/rsyslog.conf 中添加一个日志文件/var/log/LinuxStudy.log,当有事件发送时(比如sshd服务相关事件),该文件会接收到信息并保存,进行重启,登录,看看是否有日志保存
  • vim /etc/rsyslog.conf
  • conf.png
  • 重启,登录
  • 查看信息
    sshd.png
posted @ 2022-01-04 10:18  咪啪魔女  阅读(78)  评论(0编辑  收藏  举报