系统日志的管理.ppt

系统日志管理 n日志文件概述 n系统的日志文件不仅可以让管理员了解系 统状态，在系统出现问题时系统管理员可 以查阅日志文件来确定系统当前状态、观 察入侵者踪迹、寻找某特定程序(或事件)相 关的数据 日志和日志系统简介 n日志的主要用途 n系统审计、监测追踪和分析统计。 n日志系统的由来 nLinux内核由很多子系统组成，包括网络、文件访问、 内存管理等。 子系统需要给用户传送一些消息，这些 消息内容包括消息的来源及其重要性等。 所有的子系 统都要把消息送到一个可以维护的公用消息区，于是 ，就有了syslog日志系统。 nsyslog nsyslog是一个综合的日志记录系统。 nsyslog主要功能 n方便日志管理 n分类存放日志 nsyslog的组成 n日志守护进程klogd：只处理内核消息 n日志守护进程syslogd：处理其他系统消息 syslogd与klogd守护进程 n行的基本语法是： 选择器 动作 注意：中间的分隔符必须是Tab 字符！ n选择器是由“设备” 和“优先级” 构成，中间用点 号连接。 n动作 “动作” 选项可以对日志进行处理。可以把它存入 硬盘，转发到另一台机器或显示在管理员的终端 上。 配置日志文件syslog.conf n动作： n文件名 写入某个文件，要注意绝对路径。 n 主机名 转发给另外一台主机的syslogd 程序。 nIP 地址 同上，只是用IP 地址标识而已。 n/dev/console 发送到本地机器屏幕上。 n* 发送到所有用户的终端上。 n| 程序 通过管道转发给某个程序。 n例如： kern.emerg /dev/console( 一旦发生内核的紧急状况，立刻把信息 显示在控制台上) 选择器-消息来源 n“设备”代表信息产生的源头，可以是： auth 认证系统，即询问用户名和口令 cron 系统定时系统执行定时任务时发出的信息 daemon 某些系统的守护程序的syslog,如由in.ftpd产生的log kern 内核的syslog信息 lpr 打印机的syslog信息 mail 邮件系统的syslog信息 mark 定时发送消息的时标程序 news 新闻系统的syslog信息 user 本地用户应用程序的syslog信息 uucp uucp子系统的syslog信息 local07 种本地类型的syslog信息,这些信息可以又用户来定义 * 代表以上各种设备 优先级 n“优先级”代表信息的重要性，可以是： emerg 紧急，处于Panic状态。通常应广播到所有用户； alert 告警，当前状态必须立即进行纠正。例如，系统数 据库崩溃； crit 关键状态的警告。例如，硬件故障； err 其它错误； warning 警告； notice 注意；非错误状态的报告，但应特别处理； info 通报信息； debug 调试程序时的信息； none 通常调试程序时用，指示带有none级别的类型产生 的信息无需送出。如*.debug;mail.none表示调试时除邮件信息 外其它 日志文件syslog.conf /将info或更高级别的消息送到/var/log/messages，除了mail以外。 /其中*是通配符，代表任何设备；none表示不对任何级别的信息进行记录。 *.info;mail.none;authpriv.none /var/log/messages /将authpirv设备的任何级别的信息记录到/var/log/secure文件中，这主要是一些和权限 使用相关的信息。 authpriv.* /var/log/secure /将mail设备中的任何级别的信息记录到/var/log/maillog文件中，这主要是和电子邮件 相关的信息。 mail.* /var/log/maillog /将cron设备中的任何级别的信息记录到/var/log/cron文件中，这主要是和系统中定期 执行的任务相关的信息。 cron.* /var/log/cron /将任何设备的emerg级别的信息发送给所有正在系统上的用户。 *.emerg * /将uucp和news设备的crit级别的信息记录到/var/log/spooler文件中。 uucp,news.crit /var/log/spooler /将和系统启动相关的信息记录到/var/log/boot.log文件中。 local7.* /var/log/boot.log n修改syslog.conf配置文件之后，必须通知 syslogd和klogd重新读取该配置文件，这样 改动才会生效。 nService syslog restart nKill HUP cat /var/run/syslogd.pid nKill HUP cat /var/run/klogd.pid nkillall -HUP syslog nkillall -HUP klog 常见的日志文件 n所有的日志文件通常存放在“/var/log”目录 下。 n为了查看日志文件的内容必须要有“root”权 限。 n为了保证Linux系统正常运行、准确解决遇 到的各种各样的系统问题， 认真地读取日 志文件是管理员的一项非常重要的任务。 nLinux系统中日志分为两大类: n 系统日志 n应用程序日志 常用日志文件 n/var/log/boot.log n/var/log/dmesg n/var/log/messages n/var/log/cron n/var/log/lastlog n/var/log/secure n/var/log/wtmp n 查看文本日志文件 n查看文本日志文件 n使用cat、tac、more、less、tail和grep查看文本 日志文件。 n使用相关命令查看非文本日志文件 n例如： n使用lastlog命令读取日志文件/var/log/lastlog检查用 户上次登录的时间 # lastlog nlast命令往回搜索wtmp来显示自从文件第一次创建 以来登录过的用户 # last nwho命令查询wtmp文件并报告当前登录的每个用户 # who 图形化管理系统日志 n选择“系统”|“管理”|“系统日志”命令 ，系统将打开“系统日志查看器”窗口 n在“系统日志”窗口中，可看到系统包含 了很多日志文件：引导日志、Cron日志、 内核启动日志和邮件日志等。单击某一日 志文件，在窗口的右侧将显示该日志文件 包含的信息。 分析日志文件 n对日志文件进行分析是必要的，因为其中包含了 关于Linux系统中所发生事件的有价值的记录信 息。这些信息可以用来检查各种问题、观察入侵 者以及生成所在系统的统计信息 n系统管理员应该定期地对日志文件进行检查，以 发现潜在的问题，并在这些问题变得棘手之前解 决 n通过对日志文件的定期检查，管理员会逐渐熟悉 在日志文件中，哪些代表了正常行为、哪些代表 发生了预期外的事件 转储日志文件 n清除旧日志文件，腾出磁盘空间存储新的日志信息 n压缩日志文件，并将其存储在日志存档介质中，以 作为系统活动的长期记录 n重命名并压缩日志文件，以便于将来的进一步研究 通常的日志转储系统存储日志文件的周期为一 个月，并为每星期生成单独的存档文件日志文件通 常会被移动到其他目录和文件系统(另外的硬盘或硬 盘分区)存储，以便腾出根分区的空间。 日志滚动（1） n为什么使用日志滚动 n所有的日志文件都会随着时间的推移和访问次数的增 加而迅速增长， 因此必须对日志文件进行定期清理以 免造成磁盘空间的不必要的浪费。 n日志滚动程序 nRed Hat 下有一个专门的日志滚动处理程序logrotate nlogrotate能够自动完成日志的压缩、备份、删除工作 n系统默认把logrotate加入到系统每天执行的计划任务 中，这样就省得管理员自己去处理了。 日志滚动（2） nlogrotate的配置文件 n/etc/logrotate.conf # cat /etc/logrotate.conf / 每周清理一次日志文件 weekly / 保存过去四周的日志文件 rotate 4 / 清除旧日志文件的同时，创建新的空日志文件 create / 包含/etc/logrotate.d目录下的所有配置文件 include /etc/logrotate.d n/etc/logrotate.d目录 # ls /etc/logrotate.d cups httpd mysqld named rpm samba snmpd syslog up2date vsftpd.log n每个文件的基本格式 # cat syslog /var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/ cron shar