首页 > 新闻 > 内容
Linux下的江苏IT日志管理
- 2018-06-12 -

  一、江苏IT日志管理目录/var/log

  常用的系统日志如下:

  核心启动日志:/var/log/dmesg

  系统报错或重启服务等日志:/var/log/messages

  邮件系统日志:/var/log/maillog

  cron(定制任务日志)日志:/var/log/cron #计划日志执行成功与否,在这个文件中看

  var/log/secure #验证系统用户登录

  1、文件 /var/log/wtmp 记录所有的登入和登出

  使用到的命令式last(可以查看哪些人登陆系统)

  [root@zlf log]# last

  root pts/0 172.27.35.3 Thu Oct 20 08:49 still logged in

  清空日志(删除日志文件即可)

  2、江苏IT日志管理lastlog记录用户最后登陆系统信息

  [root@zlf log]# lastlog

  Username Port From Latest

  root pts/0 172.27.35.3 Thu Oct 20 08:49:58 +0800 2016

  bin **Never logged in**

  3、登陆出错则btmp会产生内容(如果变的特别大查看是否有暴力破解)

  [root@zlf ~]# ll -h /var/log/btmp

  -rw-------. 1 root utmp 384 Oct 9 05:56 /var/log/btmp

  二、日志的记录方式:先分类,后分级别

  1、主要7种日志分类(FACILITY):

  authpriv 安全认证相关

  cron at和cron定时相关

  daemon 后台进程相关

  kern 内核产生

  lpr 打印系统产生

  mail 邮件系统相关

  syslog 日志服务本身

  local0到local7 #共8个类型,系统保留的:8个系统日志类型,给其它程序使用。或用户 自定义用

  2、8个日志级别:以下排列,由轻到重

  debug 排错信息。开发人

  info 正常信息

  notice 稍微要注意的

  warn 警告

  err(error) 错误

  crit(critical) 关键的错误

  alert 警报警惕

  emerg(emergency) 紧急,突发事件

  4、配置文件,日志名称

  [root@zlf ~]# vim /etc/rsyslog.conf#rhel6.5系统

  进入配置文件显示内容如下:

  1. kern.* 内核类型的所级别日志

  2 *.info;mail.none;news.none;authpriv.none;cron.none:由于 mail, news, authpriv, cron 等类别产生的讯息较多,因此在 /var/log/messages 里面不记录这些项目。除此其他讯息都写入 /var/log/messages 中。所以messages 文件很重要

  3. authpriv.*认证方面的讯息均写入 /var/log/secure 档案;

  4. mail.*:邮件方面的讯息则均写入 /var/log/maillog 档案;

  5. cron.*:例行性工作排程均写入 /var/log/cron 档案;

  6. local7.*:将本机开机时应该显示到屏幕的讯息写入到 /var/log/boot.log 档案中;

  注:

  . :代表『比后面还要高的等级都被记录下来』的意思,

  例如: mail.info 代表只要是 mail 类型的信息,而且该信息等级高于 info (包括 info 本身)时,就会被记录下来的意思。

  .= :代表所需要的等级就是后面接的等级而已, 其他的都不要!

  .! :代表不等于, 亦即是除了该等级外的其他等级都记录。

  举例:

  cron.none 对于cron类型日志不记录任何信息

  cron.=err 对于cron类型日志只记录err级别的信息

  cron.err 对于cron类型日志记录大于err级别的信息

  cron.!err 对于江苏IT日志管理cron类型日志不记录err级别的信息,其他级别都记录。