作者:wjwakx5792 | 来源:互联网 | 2023-09-02 20:36
系统登录档配置及分析系统登录档的作用就是记录系统活动信息的几个档案,包括何时、何地、何人、做了什么样的动作。系统软件信息的记录会由syslogd这个服务完成ÿ
系统登录档配置及分析
系统登录档的作用就是记录系统活动信息的几个档案,包括何时、何地、何人、做了什么样的动作。
系统软件信息的记录会由syslogd这个服务完成;内核信息会由klogd服务来记录。
linux常见的登录档文件名:
/var/log/cron:记录工作排程的相关信息
/var/log/dmesg:记录系统在开机时核心侦测硬件的相关信息
/var/log/mail/*:记录邮件来往的信息
/var/log/messages:记录各种信息,非常重要!
/var/log/secure:涉及到输入账号密码的程序信息
/var/log/wtmp /var/log/failog:记录登录成功或者失败的信息
syslod服务的配置文件/etc/syslog.conf
这个档案的每一行都规定了一个记录,通常有三个参数 1、什么服务 2、什么等级信息 3、记录在哪里
服务类别有以下几种:auth cron deamon kern lpr mail news syslog user uucp local0—local7
信息等级有以下几种:info notice warn err crit alert emerg
登录档一般需要定时更新一下,所以需要logrotate这个程序,这个程序有配置文件,/etc/logrotate.conf以及/etc/logrotate.d/ 其中第一个是主配置文件,第二个是一个目录,作为一些细部设定的补充。
/etc/logrotate.conf这个档案规定多长时间更新或者档案大小超过某一个值就更新;档案存在几个之后最后那个档案就会被删除;是否需要将档案压缩。
/etc/logrotate.d/ 这个目录下创建的文件也可以规定主配置文件中的那些参数,而且还可以按照固定格式写脚本来进行控制。
logrotate仅仅是一支程序,想要它执行的话我们可以将它写进cron中,这样它就会自动执行。
对于登录档分析来说,系统自带logwatch软件每天分析一次并将结果发给root,我们也可以自己写脚本来分析登录档。
注意:
1、登录档如果用vi编辑过那么就会停止工作,除非重新启动服务;
2、登录档一般有隐藏属性a,用chattr设定,表示只可以系统增加不可以修改,删除;
3、/etc/logrotate.d/目录下的配置文件中可以加入脚本,要有固定的格式。
sharedscripts
prerotate或者postrotate
下面写脚本
endscripts
prerotate代表在更新登录档之前需要做的事情,也就是下面脚本实现的功能,二postrotate则是更新之后需要做的事情。一般在更新前去掉登录档a这个隐藏属性,这样才能更新,更新后加上a属性。
4、我们可以通过配置/etc/sysconfig/syslog文件来讲主机设置成为登录档服务器(udp的514端口),这样其他客户端就可以通过在/etc/syslog.conf中一句命令的设置将登录档发送给本机了。
5、syslogd为super deamon的机制;而logrotate则是透过crontab来执行的一个指令而已。
京公网安备 11010802041100号