3_日志项目集成.docVIP

日志项目集成 吴刚2008-2-21 Linux的系统日志： Linux下的日志分为内核日志和系统日志 日志一般都记录在/var/log目录下： /var/log/dmesg核心启动日志（可以查看内核日志），可以用dmesg命令显示该文件的内容。 /var/log/messages标准系统日志（记录着大部分系统服务的输出） /var/log/maillog邮件系统日志 /var/log/boot.log系统引导过程日志（该文件记录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息） /var/log/cron记录守护进程派生子进程 /var/log/syslog记录警告信息（默认Red Hat Linux不生成该日志文件，但可以配置/etc/syslog.conf让系统生成该日志文件。它只记录警告信息，常常是系统出问题的信息，所更应该关注该文件） /var/log/wtmp永久记录用户登录事件（last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录信息） /var/log/xferlog记录FTP会话 /var/log/secure安全信息（如记录登录和tcp_wrapper等安全相关的信息） syslog程序接受访问系统的日志信息并根据/etc/syslog.conf配置文件中的指令处理这些信息。 /etc/syslog.conf配置文件 对象 等级 日志记录位置 系统日志的对象包括： authpriv用户认证和安全信息 cronatd和crond的信息 mail邮件系统 news：新闻系统 user普通用户的信息 ern：核心信息 local本地回报信息（local0-7是由开发人员定义的，供系统管理员自行定义管理使用） mark：记录日志系统存活信息（日志记录系统的运行的状态，则MARK是用于记录日志的存活信息。它每个5分钟向日志文件中记录一次日志系统存活信息） 系统日志的等级包括： emerg/panic：系统不可用.无法继续运行（所有登录人员会立刻看到该信息） alert：必须立即处理 crit：致命的行为 err：错误情况 warn/warning：警告情况 notic：普通，但很重要的行为 info：标准汇报，普通信息 debug：除错所需（一般为开发人员所用，如服务启动过程出错） *：代表所有等级 日志记录位置： 指定路径的文件 远端的系统（@主机名或IP地址） 用户（*代表所有用户，指在线用户） 日志记录带“-”号的表示异步写入，数据先经过缓存在写入硬盘，速度较快但突然断电会造成数据丢失。 日志记录不带“-”号的表示同步写入，数据直接写入硬盘，速度较慢但突然断电不会造成数据丢失。 操作： 对象.等级：记录某一对象某一等级及以上等级的信息 对象=等级：记录某一对象某一等级的信息 对象!=等级：记录某一对象除某一等级以外的信息 *.等级：记录所有对象某一等级及以上等级的信息 对象.*；记录某一对象所有等级的信息 例： 记录所有对象的info等级，除mail.authpriv和cron服务外 搭建日志服务器： Server ps aux | grep syslog -m参数表示开启mark，-m 0表示没有mark对象 vim /etc/sysconfig/syslog 创建日志的权限的反掩码 -m参数表示开启mark -r参数表示开启接收日志功能 -x表示关闭DNS解析 在SYSLOG_XXX添加-r和-x参数表示已经开启接收日志功能，并不将客户端IP地址解析成主机名。 service syslog restart重新启动日志服务 这时在用ps aux命令查看会多出-r和-x参数，表明日志服务器已经搭建成功。 Client vim /etc/syslog.conf @日志服务器IP地址 *和wg用户在图形界面下使用无效 service syslog restart 这时，可以在Server端，用tail /var/log/messages查看到客户端的日志信息。 时间标签（Timestamp） 主机名（Hostname） 生成消息的子系统的名称 消息（Message），即消息的内容 显示产生日志最多的信息： awk ‘{print $4}’ /var/log/messages | uniq –c | sort –nr | head -1 高级系统日志管理： logrotate防止日志文件容量增大，文件系统被完全占用 logrotate被放在/etc/cron.daily/中每日凌晨4：02分自动执行 默认情况下，系统日志每周轮换一次，放置一个月后被清扫（周日-下周六） vim /etc/logrotate.conf weekly表示以周为单位 rotate