linux日誌配置
❶ linux系統日誌怎麼查看
1. 前言
在Linux日常管理中,我們肯定有查看某些服務的日誌需求,或者是系統本身的日誌。本文主要介紹如何查看Linux的系統日誌,包括文件的路徑、工具的使用等等。會看Linux日誌是非常重要的,不僅在日常操作中可以迅速排錯,也可以快速的定位。
2. 如何查看Linux日誌
Linux日誌文件的路徑一般位於,/var/log/,比如ngix的日誌路徑為/var/log/nginx/,如果要查看某服務的日誌,還可以使用systemctl status xxx,比如查看ssh服務的壯態,systemctl status sshd
查看Linux某服務的日誌
Liunx的配置文件在/etc/rsyslog.d里,可以看到如下信息
在linux系統當中,有三個主要的日誌子系統:
1、連接時間日誌:由多個程序執行,把記錄寫入到/var/log/wtmp和/var/run/utmp,
login等程序會更新wtmp和utmp文件,使系統管理員能夠跟蹤誰在何時登錄到系統。
2、進程統計:由系統內核執行,當一個進程終止時,為每個進程往進程統計文件中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計
3、錯誤日誌:由rsyslogd守護程序執行,各種系統守護進程、用戶程序和內核通過rsyslogd守護程序向文件/var/log/messages報告值得注意的時間。另外有許多linux程序創建日誌,像HTTP和ftp這樣提供的伺服器也保持詳細的日誌。
4、其他日誌……
查看Linux日誌默認路徑
可以看到在/var/log目錄下存在很多的日誌文件,接下來就對裡面的一些常用日誌文件進行分析
主要日誌文件介紹:
內核及公共消息日誌:/var/log/messages
計劃任務日誌:/var/log/cron
系統引導日誌:/var/log/dmesg
郵件系統日誌:/var/log/maillog
用戶登錄日誌:/var/log/lastlog
/var/log/boot.log(記錄系統在引導過程中發生的時間)
/var/log/secure (用戶驗證相關的安全性事件)
/var/log/wtmp(當前登錄用戶詳細信息)
/var/log/btmp(記錄失敗的的記錄)
/var/run/utmp(用戶登錄、注銷及系統開、關等事件)
日誌文件詳細介紹:
/var/log/secure
Linux系統安全日誌,記錄用戶和工作組的情況、用戶登陸認證情況
例子:我創建了一個zcwyou的用戶,然後改變了該用戶的密碼,於是該信息就被記錄到該日誌下
Linux系統安全日誌默認路徑
該日誌就詳細的記錄了我操作的過程。
內核及公共信息日誌,是許多進程日誌文件的匯總,從該文件中可以看出系統任何變化
查看Linux內核及公共信息日誌
系統引導日誌
該日誌使用dmesg命令快速查看最後一次系統引導的引導日誌
查看Linux系統系統引導日誌
最近的用戶登錄事件,一般記錄最後一次的登錄事件
該日誌不能用諸如cat、tail等查看,因為該日誌裡面是二進制文件,可以用lastlog命令查看,它根據UID排序顯示登錄名、埠號(tty)和上次登錄時間。如果一個用戶從未登錄過,lastlog顯示 Never logged。
該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。該日誌為二進制文件,不能用諸如tail/cat/等命令,使用last命令查看。
記錄郵件的收發
此文件是記錄錯誤登錄的日誌,可以記錄有人使用暴力破解ssh服務的日誌。該文件用lastb打開
該日誌記錄當前用戶登錄的情況,不會永久保存記錄。可以用who/w命令來查看
3. 常用的日誌分析工具與使用方法
3.1 統計一個文本中包含字元個數
3.2 查看當天訪問排行前10的url
3.3 查看apache的進程數
3.4 訪問量前10的IP
cut部分表示取第1列即IP列,取第4列則為URL的訪問量
3.5 查看最耗時的頁面
按第2列響應時間逆序排序
3.6 使用grep查找文件中指定字元出現的次數
-o 指示grep顯示所有匹配的地方,並且每一個匹配單獨一行輸出。這樣只要統計輸出的行數就可以知道這個字元出現的次數了。
4. 總結
查看Linux日誌需求了解和熟悉使用一些常用的工具方能提升我們的查找和定位效率。比如使用 Grep 搜索,使用Tail命令,使用Cut,使用AWK 和 Grok 解析日誌和使用 Rsyslog 和 AWK 過濾等等,只要能掌握這些工具。我們才能高效地處理和定位故障點。
https://www.linuxrumen.com/rmxx/647.html
❷ linux系統日誌格式
1、系統常用的日誌(日誌是用來記錄重大事件的工具)
/var/log/message 系統信息日誌,包含錯誤信息等
/var/log/secure 系統登錄日誌
/var/log/cron 定時任務日誌
/var/log/maillog 郵件日誌
/var/log/boot.log 系統啟動日誌
2、日誌管理服務 rsyslog 《Linux就該這么學》
【1】作用:主要用來採集日誌,不產生日誌
【2】配置文件:/etc/rsyslog.conf
編輯文件時的格式為: ------ *.* 存放日誌文件 ------
其中第一個*代表日誌類型,第二個*代表日誌級別
❸ linux 怎樣設置crontab 記錄日誌
你好,關於crontab這塊的內容,我在《linux就該這么學》中看到了相關的講解,分享給你看看:
crond是linux下用來周期性的執行某種任務或等待處理某些事件的一個守護進程,與windows下的計劃任務類似,當安裝完成操作系統後,默認會安裝此服務工具,並且會自動啟動crond進程,crond進程每分鍾會定期檢查是否有要執行的任務,如果有要執行的任務,則自動執行該任務。Linux下的任務調度分為兩類,系統任務調度和用戶任務調度。系統任務調度:系統周期性所要執行的工作,比如寫緩存數據到硬碟、日誌清理等。在/etc目錄下有一個crontab文件,這個就是系統任務調度的配置文件。
例如:
*/5 * * * * root /usr/libexec/atrun
minute(m) : 代表一小時內的第幾分,范圍 0-59。
hour (h) : 代表一天中的第幾小時,范圍 0-23。
mday (dom) : 代表一個月中的第幾天,范圍 1-31。
month(mon) : 代表一年中第幾個月,范圍 1-12。
wday (dow) : 代表星期幾,范圍 0-7 (0及7都是星期天)。
who : 要使用什麼身份執行該指令,當您使用 crontab -e 時,不必加此欄位。
command(command):所要執行的指令。
如果還是有不懂的問題,推薦你下載《linux就該這么學》這本書,裡面比我講的詳細多了,肯定對你有幫助!
❹ linux rsyslog配置了日誌伺服器 如何去除本機記錄日誌
首先需要一台日誌伺服器(如IP地址為10.1.1.1),然後在Linux操作系統配置並啟動日誌伺服器:
1、編輯「/etc/syslog.conf」;
2、在消息去向處添加「*.Error;
authpriv.*
@10.1.1.1」;
3、存檔退出重起服務「/etc/rc.d/init.d/syslog
restart」
❺ 配置Linux日誌文件
不要低估日誌文件對網路安全的重要作用,因為日誌文件能夠詳細記錄系統每天發生的各種各樣的事件,用戶可以通過日誌文件檢查錯誤產生的原因,或者在受到攻擊、被入侵時追蹤攻擊者的蹤跡。日誌的兩個比較重要的作用是審核和監測。配置好的Linux的日誌非常強大。對於Linux系統而言,所有的日誌文件在/var/log下。默認情況下,Linux的日誌文件沒有記錄FTP的活動。用戶可以通過修改/etc/ftpacess讓系統記錄FTP的一切活動。
/etc/syslog.conf的格式
Linux系統的日誌文件是可以配置的,在前面的章節中已經介紹了如何定製Apache、wu-ftpd、Sendmail的日誌文件。Linux系統的日誌文件是由/etc/syslog.conf決定的,用戶有必要花時間仔細配置一下/etc/syslog.conf.下面是/etc/syslog.conf的範例:
# Log all kernel messages to the kernlog.
# Logging much else clutters up the screen.
kern.*/var/log/kernlog
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none
/var/log/messages
*.warning/var/log/syslog
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.*/var/log/maillog
# Log cron stuff
cron.*/var/log/cron
# Everybody gets emergency messages, plus log them on another
# machine.
*.emerg
# Save mail and news errors of level err and higher in a
# special file.
uucp,news.crit/var/log/spooler
# Save boot messages also to boot.log
local7.*/var/log/boot.log
# INN
news.=crit /var/log/news/news.crit
news.=err /var/log/news/news.err
news.notice /var/log/news/news.notice
.
可以看出,該配置文件的每一行的第一個欄位列出要被記錄的信息種類,第二個欄位則列出被記錄的位置。第一個欄位使用下面的格式:facility.level[;facility.level…]
此處的faciity是產生信息的系統應用程序或工具,level則是這個信息的重要程度。level的重要程度由低到高依次是:debug(調試消息)、info(一般消息)、notice(值得注意的消息)、warning(警告)、err(一般性錯誤)、crit(嚴重錯誤)、alert(或emerg,緊急情況)。
facility包含有:auth(認證系統,如login或su,即詢問用戶名和口令)、cron(系統執行定時任務時發出的信息)、daemon(某些系統的守護程序的syslog,如由in.ftpd產生的log)、kern(內核的信息)、lpr(列印機的信息)、mail(處理郵件的守護進程發出的信息)、mark(定時發送消息的時標程序)、news(新聞組的守護進程的信息)、user(本地用戶的應用程序的信息)、uucp(uucp子系統的信息)和「*」(表示所有可能的facility)。
將日誌文件記錄到遠程主機
如果有另一個Linux或UNIX系統,那麼可以配置日誌文件,讓其把消息發到另外一個系統並記錄下來。這也是為什麼上面的所有日誌文件都記錄了主機名的原因。要實現這個功能,在該配置文件中,指定一個記錄動作,後面接一個由「@」開頭的遠程系統的主機名,如下例:*.warn;authpriv.notice;auth.notice @bright.hacker.com.cn
同時,還要將接受消息的目的系統設置為允許這種操作。此例主機bright.hacker.com.cn的syslogd守護進程要用-r參數啟動。如果不使用-r參數,則目標主機的syslogd將丟棄這個消息以避免DoS攻擊使硬碟塞滿虛假消息。並且確保目標主機的/etc/service文件必須設置syslog服務所使用的UDP埠514(這也是RedHat Linux默認的設置)。如果syslogd守護進程用了-r和-h參數,那麼,參數-h將允許轉發消息。也就是說,如果系統B的syslogd用了-h參數,這樣,當系統A把消息轉發到系統B後,系統B就把來自系統A和它自己的消息轉發到系統C.
將警告信息發送到控制台
syslogd可以將任何從內核發出的重要程度為emerg或alert的信息發送到控制台。控制台是指虛擬控制台或啟動時加-C參數的xterm.要實現這一功能,在/etc/syslog.conf文件中加上下面一行:kern.emerg /dev/console
這樣,當系統內核發生錯誤而發出消息時,用戶能夠馬上知道並且進行處理。如果用了「*」,就是一旦內核發生錯誤,就將消息發送給所有在線用戶,但只有這個用戶正在登錄的時候才能看到。修改了/etc/syslog.conf文件後,必須重新啟動syslogd守護進程以使配置更改生效,請執行下面的命令:#/etc/rc.d/init.d/syslog restart
❻ linux mysql中繼日誌怎麼配置
linux mysql中繼日誌怎麼配置
1.首先確認伺服器出於安全的狀態,也就是沒有人能夠任意地連接MySQL資料庫。
因為在重新設置MySQL的root密碼的期間,MySQL資料庫完全出於沒有密碼保護的
狀態下,其他的用戶也可以任意地登錄和修改MySQL的信息。可以採用將MySQL對
外的埠封閉,並且停止Apache以及所有的用戶進程的方法實現伺服器的准安全
狀態。最安全的狀態是到伺服器的Console上面操作,並且拔掉網線。
2.修改MySQL的登錄設置:
# vi /etc/my.cnf
在[mysqld]的段中加上一句:skip-grant-tables!
❼ linux下的日誌同步服務怎麼做高分求助
我不知道你的日誌同步是什麼意思,我的理解是把所有伺服器的日誌統一發送到一台指定的日誌伺服器。。如果理解不對,麻煩補充。
我把我的摘抄的文檔發上來給你看看,這個不難,我就是按這個文檔配置的。。
一、 配置syslog守護進程
syslog是Linux系統默認的日誌守護進程。默認的syslog配置文件是/etc/syslog.conf文件。syslog守護進程是可配置 的,它允許人們為每一種類型的系統信息精確地指定一個存放地點。現在,我們先看看syslog.conf文件的配置行格式(這個文件里的每一個配置行都是 同樣的格式),然後再看一個完整的syslog配置文件。syslog配置行的格式如下所示:
mail.*/var/log/mail
這一行由兩個部分組成。第一個部分是一個或多個「選擇條件」;上例中的選擇條件是「mail」。選擇條件後面跟一些空格字元,然後是一個「操作動作」;上例中的操作動作是:/var/log/mail
1選擇條件
選擇條件本身分為兩個欄位,之間用一個小數點(.)分隔。前一欄位是一項服務,後一欄位是一個優先順序。選擇條件其實是對消息類型的一種分類,這種分類便於 人們把不同類型的消息發送到不同的地方。在同一個syslog配置行上允許出現一個以上的選擇條件,但必須用分號(;)把它們分隔開。上面給出的例子里只 有一個選擇條件「mail」。大家可以在我們後面給出的那個完整的syslog配置文件示例里看到同時有多個選擇條件的配置行。
2 優先順序
優先順序是選擇條件的第二個欄位,它代表消息的緊急程度。對一個應用程序來說,它發出的哪些消息屬於哪一種優先順序是由當初編寫它的程序員決定的,應用程序的 使用者只能接受這樣的安排——除非打算重新編譯系統應用程序。表2按嚴重程度由低到高的順序列出了所有可能的優先順序。
不同的服務類型有不同的優先順序,數值較大的優先順序涵蓋數值較小的優先順序。如果某個選擇條件只給出了一個優先順序而沒有使用任何優先順序限定符,對應於這個優先 級的消息以及所有更緊急的消息類型都將包括在內。比如說,如果某個選擇條件里的優先順序是「warning」,它實際上將把「warning」、 「err」、「crit」、「alert」和「emerg」都包括在內。
3優先順序限定符
syslog允許人們使用三種限定符對優先順序進行修飾:星號(*)、等號(=)和嘆號(!)。熟悉規則表達式的讀者應該對這三種限定符不會感到陌生。星號 (*)的含義是「把本項服務生成的所有日誌消息都發送到操作動作指定的地點」。就像它在規則表達式里的作用一樣,星號代表「任何東西」。在前面給出的例子 里,「mail.*」將把所有優先順序的消息都發送到操作動作指定的/var/log/mail文件里。使用「*」限定符與使用「debug」優先順序的效果 完全一樣,後者也將把所有類型的消息發送到指定地點。
等號(=)的含義是「只把本項服務生成的本優先順序的日誌消息都發送到操作動作指定的地點」。比如說,可以用「=」限定符只發送調試消息而不發送其他更緊急的消息(這將為應用程序減輕很多負擔)。當你只需要發送特定優先順序別的消息時,就要使用等號限定符。
就像它在編程時的用法一樣,等號意味著等於且僅等於。嘆號(!)的含義是「把本項服務生成的所有日誌消息都發送到操作動作指定的地點,但本優先順序的消息不 包括在內」。比如說,這條syslog配置行將把除info優先順序以外的所有消息發送到/var/log/mail文件里:
mail.*;mail.!info/var/log/mail
在這個例子里,「mail.*」將發送所有的消息,但「mail.!info」卻把info優先順序的消息排除在外。就像它在編程時的用法一樣,嘆號意味著 「非」。
4 操作動作
日誌信息可以分別記錄到多個文件里,還可以發送到命名管道、其他程序甚至另一台機器。syslog配置文件並不復雜,既容易閱讀又容易操作使用。這個文件里的注釋都非常有用,應該好好讀讀它們.
二、 建立一個中央日誌伺服器
1建立中央日誌伺服器前的准備工作
配置良好的網路服 務(DNS和NTP)有助於提高日誌記錄工作的精確性。在默認情況下,當有其他機器向自己發送日誌消息時,中央日誌伺服器將嘗試解析該機器的FQDN (fullyqualifieddomainname,完整域名)。(你可以在配置中央伺服器時用「-x」選項禁止它這樣做。)如果syslog守護進程 無法解析出那個地址,它將繼續嘗試,這種毫無必要的額外負擔將大幅降低日誌記錄工作的效率。類似地,如果你的各個系統在時間上不同步,中央日誌伺服器給某 個事件打上的時間戳就可能會與發送該事件的那台機器打上的時間戳不一致,這種差異會在你對事件進行排序分析時帶來很大的困擾;對網路時間進行同步有助於保 證日誌消息的時間准確性。如果想消除這種時間不同步帶來的麻煩,先編輯/etc/ntp.conf文件,使其指向一個中央時間源,再安排ntpd守護進程 隨系統開機啟動就可以了。
2配置一個中央日誌伺服器
只須稍加配置,就可以用syslog實現一個中央日誌伺服器。任何一台運行syslog守護進程的伺服器都可以被配置成接受來自另一台機器的消息,但這個 選項在默認情況下是禁用的。在後面的討論里,如無特別說明,有關步驟將適用於包括SUSE和RedHat在內的大多數Linux發行版本。我們先來看看如 何激活一個syslog伺服器接受外來的日誌消息:
1. 編輯/etc/sysconfig/syslog文件。
在「SYSLOGD_OPTIONS」行上加「-r」選項以允許接受外來日誌消息。如果因為關於其他機器的DNS記錄項不夠齊全或其他原因不想讓中央日誌 伺服器解析其他機器的FQDN,還可以加上「-x」選項。此外,你或許還想把默認的時間戳標記消息(--MARK--)出現頻率改成比較有實際意義的數 值,比如240,表示每隔240分鍾(每天6次)在日誌文件里增加一行時間戳消息。日誌文件里的「--MARK--」消息可以讓你知道中央日誌伺服器上的 syslog守護進程沒有停工偷懶。按照上面這些解釋寫出來的配置行應該是如下所示的樣子:
SYSLOGD_OPTIONS="-r-x-m240"
2.重新啟動syslog守護進程。
修改只有在syslog守護進程重新啟動後才會生效。如果你只想重新啟動syslog守護進程而不是整個系統,在 RedHat機器上,執行以下兩條命令之一:
/etc/rc.d/init.d/syslogstop;/etc/rc.d/init.d/syslogstart
/etc/rc.d/init.d/syslogrestart
3.如果這台機器上運行著iptables防火牆或TCPWrappers,請確保它們允許514號埠上的連接通過。syslog守護進程要用到514 號埠。
4為中央日誌伺服器配置各客戶機器
讓客戶機把日誌消息發往一個中央日誌伺服器並不困難。編輯客戶機上的/etc/syslog.conf文件,在有關配置行的操作動作部分用一個「@」字元指向中央日誌伺服器,如下所示:
authpriv.*@192.168.1.40
另一種辦法是在DNS里定義一個名為「loghost」的機器,然後對客戶機的syslog配置文件做如下修改(這個辦法的好處是:當你把中央日誌伺服器換成另一台機器時,不用再修改每一個客戶機上的syslog配置文件):
authpriv.*@loghost
接下來,重新啟動客戶機上的syslog守護進程讓修改生效。讓客戶機在往中央日誌伺服器發送日誌消息的同時繼續在本地進行日誌工作仍有必要,起碼在調試客戶機的時候不必到中央日誌伺服器查日誌,在中央日誌伺服器出問題的時候還可以幫助調試。
❽ linux系統各項日誌怎麼配置發送到中心伺服器
首先需要一台日誌伺服器(如IP地址為10.1.1.1),
然後在Linux操作系統配置並啟動日誌伺服器:
1、編輯「/etc/syslog.conf」;
2、在消息去向處添加「*.Error; authpriv.* @10.1.1.1」;
3、存檔退出重起服務「/etc/rc.d/init.d/syslog restart」
❾ linux 中修改日誌級別怎麼修改
Linux系統syslog日誌為8個等級,從0到7;系統日誌保存在在/var/log/下面,修改日誌級別方法如下:
syslog的日誌等級有8個,默認是info,這時候用syslog為debug(最低日誌級別)來寫日誌,syslog服務是不會寫如日誌的。
比如:
[root@umail180etc]#cat/etc/syslog.conf
*.info;mail.none;authpriv.none;cron.none
/var/log/messages
這時候用-p選項來修改日誌級別的優先順序
[root@umail180etc]#logger-pdebug"hellothisisatest"
#-p選項來指定優先順序,logger的默認優先為是info,指定info或更高的優先順序都可以被syslog所接收。
優先順序(priority),優先順序越低情況越嚴重:
emerg0系統不可用
alert1必須馬上採取行動的事件
crit2關鍵的事件
err3錯誤事件
warning4警告事件
notice5普通但重要的事件
info6有用的信息
debug7調試信息
❿ linux rsyslog配置了日誌伺服器 如何去除本機記錄日誌
首先需要一台日誌伺服器(如IP地址為10.1.1.1),然後在Linux操作系統配置並啟動日誌伺服器:
1、編輯「/etc/syslog.conf」;
2、在消息去向處添加「*.Error; authpriv.* @10.1.1.1」;
3、存檔退出重起服務「/etc/rc.d/init.d/syslog restart」