Linux編程 第七講 Linux的日志系統(tǒng)

1、第七講 Linux的日志系統(tǒng)1操作系統(tǒng)日志 操作系統(tǒng)日志（log）記錄了硬件、軟件和系統(tǒng)發(fā)生的事件，通過(guò)日志文件，可以檢查錯(cuò)誤發(fā)生的原因，實(shí)時(shí)監(jiān)測(cè)系統(tǒng)的狀態(tài)，檢查分析各種攻擊企圖或追中攻擊者的蹤跡。 絕大多數(shù)的操作系統(tǒng)都有日志記錄功能，如windows日志在“管理工具”中的“事件查看器”。 2操作系統(tǒng)日志（續(xù)）Linux提供了強(qiáng)大的日志記錄和管理功能，它是由兩個(gè)服務(wù)進(jìn)程klogd和syslog兩個(gè)進(jìn)程去控制日志，其中klogd負(fù)責(zé)將內(nèi)核消息傳送給syslog，syslog負(fù)責(zé)處理守護(hù)進(jìn)程日志、用戶程序日志和內(nèi)核日志。Linux的日志大體分為：系統(tǒng)日志、登錄連接日志、進(jìn)程統(tǒng)計(jì)日志和其他程序日志。

2、3配置管理日志服務(wù)一、日志服務(wù)管理Klogd和syslogd進(jìn)程的服務(wù)名均為syslog，在/etc/rc.d/init.d/syslog可看到該服務(wù)的啟動(dòng)Shell腳本。1、查詢、啟動(dòng)、停止、重啟該服務(wù)命令 rootRHEL5 #service syslog status/start/stop/restart2、設(shè)置syslog服務(wù)開(kāi)機(jī)啟動(dòng)命令rootRHEL5 #chkconfig level 2345 syslog on3、查詢當(dāng)前正在運(yùn)行Klogd和syslogd進(jìn)程信息命令rootRHEL5 #ps ef|grep syslogd rootRHEL5 #ps ef|grep klog

3、d45配置管理系統(tǒng)日志 兩個(gè)守護(hù)進(jìn)程獲取到大量的日志，需要將這些日志寫到某些日志文件里，通過(guò)日志配置文件/etc/syslog.conf實(shí)現(xiàn)的。通過(guò)設(shè)置該配置文件，可以實(shí)現(xiàn)將不同類型，不同級(jí)別的日志，記錄到指定的日志文件中或者將其傳遞到遠(yuǎn)程日志服務(wù)器。Syslog.conf中每個(gè)配置項(xiàng)是由兩列構(gòu)成，兩列之間用tab鍵隔開(kāi)，格式為facility.level action; facility代表日志消息來(lái)源設(shè)備，level代表日志級(jí)別， action代表日志消息的去向。6配置管理系統(tǒng)日志（續(xù)） logger命令 利用logger命令可以向日志文件中添加一條日志。我們利用動(dòng)態(tài)顯示命令tail 去驗(yàn)

4、證：rootRHEL5 #tail f /var/log/messagesrootRHEL5 #logger f /var/log/messages testing789priority 提供的運(yùn)算符Priority ：代表等于高于 priority 例如，err 相當(dāng)于 err + crit + alert + emerg=priority：代表恰好等于 priority例如，=err 就只是 err 本身!priority：代表除了 priority 之外的例如， !err 就是 debug + info + notice + warn + crit + alert + emerg除此之外

5、，facility 和 priority 可以使用 * 代表所有*.* 就表示所有的 facility 的所有的 priority 信息10ACTIONACTION 字段則是用來(lái)定義如何處理接收到的信息你可以指定如下幾項(xiàng)內(nèi)容/path/將信息存儲(chǔ)到 /path/ 文件中注意，如果要系統(tǒng)日志服務(wù)把信息存儲(chǔ)到文件，則該文件必須以 / 開(kāi)頭的絕對(duì)路徑命名username將信息傳送給已登錄的用戶hostname代表將信息傳送到 hostname 的系統(tǒng)日志服務(wù)器*將信息傳送給所有已登錄的用戶11例子cron.=alert/var/log/cron.log將 cron 傳送來(lái)的 alert 信息存儲(chǔ)到

6、/var/log/cron.log 文件cron.!emergroot將 cron 傳送來(lái)的 emerg 等級(jí)以外的信息轉(zhuǎn)給 root 閱讀*.emerg*將來(lái)自各種子系統(tǒng)的 emerg 等級(jí)信息傳給所有已經(jīng)登錄的用戶*.* logserver將所有信息傳送給 logserver 計(jì)算機(jī)中的系統(tǒng)日志服務(wù)器12/etc/syslog.conf/etc/syslog.conf 是以 ACTION 作為主鍵的所以，整個(gè) syslog.conf 中的每一行的 ACTION 都必須是唯一值也就是說(shuō)不能有兩個(gè)相同的 ACTION 那若需對(duì)不同類型的信息，采用同一種 ACTION ，該怎么設(shè)置呢？syslo

7、g.conf 允許使用分號(hào)連接多個(gè)信息Kern.=err;auth.err/var/log/caution.log把 kern 的 err 等級(jí)信息，以及 auth 的 err 以上的信息，全部存儲(chǔ)到 /var/log/caution.log 文件中13日志文件根據(jù)默認(rèn)的 /etc/syslog.conf ，系統(tǒng)日志服務(wù)會(huì)在 /var/log/ 中存儲(chǔ)所有的記錄文件14日志的格式在系統(tǒng)日志服務(wù)產(chǎn)生的記錄文件中，每一行就是一條信息，每一行包含下列的字段date time hostname app(name)pid:messagesdate：信息發(fā)生的日期time：信息發(fā)生的時(shí)間hostname：

8、信息發(fā)生的主機(jī)app：產(chǎn)生信息的軟件name：軟件或者軟件組織的名稱，可以省略pid：進(jìn)程標(biāo)識(shí)符，可以省略messages：信息的內(nèi)容15示例16登錄連接日志與進(jìn)程統(tǒng)計(jì)日志 登錄連接日志與進(jìn)程統(tǒng)計(jì)日志不由syslogd進(jìn)程管理，是由其他的進(jìn)程負(fù)責(zé)寫入的。 日志文件不能用cat tail more命令查看，只能使用who，last，lastlog等命令查看1、登錄連接日志登錄連接日志存放在/var/log/wtmp,/var/run/utmp和var/log/lastlog中。utmp文件已記錄了登錄的每個(gè)用戶的信息。Wtmp文件永久記錄了每個(gè)用戶登錄、注銷以及系統(tǒng)啟動(dòng)、停機(jī)等事件。Lastlo

9、g 記錄了用戶最后一次登錄信息17登錄連接日志與進(jìn)程統(tǒng)計(jì)日志（續(xù)） users，w和ac命令users顯示當(dāng)前登錄的用戶，如果該用戶登錄了多個(gè)會(huì)話，則顯示多條記錄。w 查詢當(dāng)前登錄用戶的用戶名、登錄終端、登錄主機(jī)ip，在線時(shí)間以及運(yùn)行的進(jìn)程的信息ac統(tǒng)計(jì)用戶登錄連接的總時(shí)間2、進(jìn)程統(tǒng)計(jì)日志，利用該日志可以追蹤每個(gè)用戶所運(yùn)行的每條命令。利用history命令即可查看，因此一般我們不使用該日志。18集中式的日志服務(wù)19要如何實(shí)現(xiàn)呢？依照下列的步驟操作即可（1）在作為日志客戶端的計(jì)算機(jī)上設(shè)置適當(dāng)?shù)男畔魉偷饺罩痉?wù)器，需在 ACTION 字段中指定 LogServer參數(shù) LogServer 是日志服務(wù)器的計(jì)算機(jī)名稱或 IP 地址示例 *.* 192.168.0.10（2）修改日