linux之日志管理
2014-03-17 19:02
211 查看
1:linux操作系统通过日志来记录系统,程序,用户发生的各种事件。
a. linux中的日志操作工具为: rsyslog命令。
rsyslog命令的配置文件为:/etc/rsyslog.conf。
具体字段含义如下:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
mail.info /var/log/maillog
authpriv.none /var/log/secure
cron.* /var/log/cron
具体字段解释:
mail.none mail表示服务或者监视的对象,日志记录按照重要的等级分为
debug,info,warning,error,crit,emerg。none表示不属于等级中的任何一个。
*.info表示监视所有的系统,程序和用户日志。.info表示包括info信息以及warn error等。
b. 消息发送的位置
本地文件 : 为绝对路径
打印机: 设备文件
远程服务器: @IP_ADRESS
* : 表示发给所有人。
2:如果要将日志存储到另一台服务器上步骤如下:
第一步:
在/etc/rsyslog.conf配置文件中加入要传递的日志等级及需要记录的服务
cron.info @172.168.25.28 (用@符号表示使用的是UDP协议,用@@表示用TCP协议)
第二步:
在存放日志的服务器中修改配置文件/etc/rsyslog配置文件,将远程日志功能启用。
第三步:
关闭远程服务器的防火墙。
第四步:
重启日志服务 service rsyslog restart.
3:日志文件介绍
/var/log/secure -----------记录用户的登录认证
/var/log/cron ------------记录计划任务的操作
/var/log/maillog --------------记录邮件服务
/var/log/boot.log -------------记录开机启动的信息
/var/log/messages --------------内核及公共日志
/var/log/dmesg --------------内核加载驱动日志
/var/log/lastlog : --------------最近的用户登录事件
/var/log/wtmp --------------用户登录,注销及系统开,关机事件
/var/log/utmp ---------------当前登录的每个用户的详细信息
4:用户登录分析
last 命令查看所有登录过的用户的信息
lastlog
accton命令用来监视用户登录时使用过的命令,但是只有在开启的情况下才监视。使用方法
第一步: accton /vat/account/pacct 启用用户行为监控
第二步: lastcomm --user root 查看root用户使用过的命令
第三步: accton 停用监控服务。
5:主动添加日志
使用logger命令可以手动为日志文件添加日志。在脚本维护中,可以用来在日志中做标记。
日志管理需要及时做好备份,控制日志访问权限,集中管理日志。
6: 日志轮转功能。
由于日志文件在经历一段时间后会变得越来越大,这就需要日志轮转,所谓日志轮转就是将一个时间段的日志存储到另一个文件中,之后的日志记录又从现阶段开始。
日志轮转命令:logrotate
logrotate配置文件为:/etc/logrotate.conf。
其中重要的字段意思如下:
rotate 4 经过四个轮转周期备份一次
sharedscripts 脚本执行定义的头部
endscripts 脚本执行定义的尾部
postrotate 在日志开始轮转之后执行脚本标志
prerotate 在日志轮转之前执行脚本标志
工作中用法: 给日志加上 chattr +a /var/log/mylog,在一个轮转周期开始前在prerotate中去掉该权限,chattr -a /var/log/mylog。然后在postrotate中再加上该权限。
a. linux中的日志操作工具为: rsyslog命令。
rsyslog命令的配置文件为:/etc/rsyslog.conf。
具体字段含义如下:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
mail.info /var/log/maillog
authpriv.none /var/log/secure
cron.* /var/log/cron
具体字段解释:
mail.none mail表示服务或者监视的对象,日志记录按照重要的等级分为
debug,info,warning,error,crit,emerg。none表示不属于等级中的任何一个。
*.info表示监视所有的系统,程序和用户日志。.info表示包括info信息以及warn error等。
b. 消息发送的位置
本地文件 : 为绝对路径
打印机: 设备文件
远程服务器: @IP_ADRESS
* : 表示发给所有人。
2:如果要将日志存储到另一台服务器上步骤如下:
第一步:
在/etc/rsyslog.conf配置文件中加入要传递的日志等级及需要记录的服务
cron.info @172.168.25.28 (用@符号表示使用的是UDP协议,用@@表示用TCP协议)
第二步:
在存放日志的服务器中修改配置文件/etc/rsyslog配置文件,将远程日志功能启用。
第三步:
关闭远程服务器的防火墙。
第四步:
重启日志服务 service rsyslog restart.
3:日志文件介绍
/var/log/secure -----------记录用户的登录认证
/var/log/cron ------------记录计划任务的操作
/var/log/maillog --------------记录邮件服务
/var/log/boot.log -------------记录开机启动的信息
/var/log/messages --------------内核及公共日志
/var/log/dmesg --------------内核加载驱动日志
/var/log/lastlog : --------------最近的用户登录事件
/var/log/wtmp --------------用户登录,注销及系统开,关机事件
/var/log/utmp ---------------当前登录的每个用户的详细信息
4:用户登录分析
last 命令查看所有登录过的用户的信息
lastlog
accton命令用来监视用户登录时使用过的命令,但是只有在开启的情况下才监视。使用方法
第一步: accton /vat/account/pacct 启用用户行为监控
第二步: lastcomm --user root 查看root用户使用过的命令
第三步: accton 停用监控服务。
5:主动添加日志
使用logger命令可以手动为日志文件添加日志。在脚本维护中,可以用来在日志中做标记。
日志管理需要及时做好备份,控制日志访问权限,集中管理日志。
6: 日志轮转功能。
由于日志文件在经历一段时间后会变得越来越大,这就需要日志轮转,所谓日志轮转就是将一个时间段的日志存储到另一个文件中,之后的日志记录又从现阶段开始。
日志轮转命令:logrotate
logrotate配置文件为:/etc/logrotate.conf。
其中重要的字段意思如下:
rotate 4 经过四个轮转周期备份一次
sharedscripts 脚本执行定义的头部
endscripts 脚本执行定义的尾部
postrotate 在日志开始轮转之后执行脚本标志
prerotate 在日志轮转之前执行脚本标志
工作中用法: 给日志加上 chattr +a /var/log/mylog,在一个轮转周期开始前在prerotate中去掉该权限,chattr -a /var/log/mylog。然后在postrotate中再加上该权限。
内容来自用户分享和网络整理,不保证内容的准确性,如有侵权内容,可联系管理员处理 
相关文章推荐
- logrotate定时管理linux日志文件
- linux使用logrotate管理日志文件
- Linux学习日记 —— 14.2 Linux日志管理-rsyslogd服务
- linux下的日志系统管理
- 利用日志使管理Linux更轻松
- linux学习之进程、服务、日志管理及文件传输
- linux中日志管理
- 在Linux下使用logrotate管理日志(转)
- linux系统管理--系统日志功能
- Linux系统日志管理、同步、采集、分析
- Linux全攻略--系统性能、进程监控和日志管理 推荐
- Linux全攻略--系统性能、进程监控和日志管理
- Linux学习笔记(21) Linux日志管理
- Linux平台下基于BitTorrent应用层协议的下载软件开发--日志管理模块(log.c)
- Linux 日志管理
- Linux系统日志管理
- Linux管理用户日志
- Linux 日志管理 Logrotate
- Linux 文件管理(C语言库函数二--程序日志)
- logrotate定时管理linux日志文件2