系统日志的管理PPT课件

10
常用日志文件
/var/log/boot.log /var/log/dmesg /var/log/messages /var/log/cron /var/log/lastlog /var/log/secure /var/log/wtmp ……
11
查看文本日志文件
查看文本日志文件
的信息无需送出。如*.debug;mail.none表示调试时除邮件信 息外其它
7
日志文件syslog.conf
//将info或更高级别的消息送到/var/log/messages，除了mail以外。 //其中*是通配符，代表任何设备；none表示不对任何级别的信息进行记录。 *.info;mail.none;authpriv.none /var/log/messages //将authpirv设备的任何级别的信息记录到/var/log/secure文件中，这主要是一些和权限
syslog
syslog是一个综合的日志记录系统。
syslog主要功能
方便日志管理
分类存放日志
syslog的组成
日志守护进程klogd：只处理内核消息
日志守护进程syslogd：处理其他系统消息
2
syslogd与klogd守护进程
3
配置日志文件syslog.conf
行的基本语法是：
@IP 地址 同上，只是用IP 地址标识而已。
/dev/consHale Waihona Puke Baidule 发送到本地机器屏幕上。
*
发送到所有用户的终端上。
| 程序
通过管道转发给某个程序。
例如： kern.emerg /dev/console( 一旦发生内核的紧急状况，立刻把信息 显示在控制台上)
5
选择器--消息来源
“设备”代表信息产生的源头，可以是： auth 认证系统，即询问用户名和口令 cron 系统定时系统执行定时任务时发出的信息 daemon 某些系统的守护程序的syslog,如由in.ftpd产生的log kern 内核的syslog信息 lpr 打印机的syslog信息 mail 邮件系统的syslog信息 mark 定时发送消息的时标程序 news 新闻系统的syslog信息 user 本地用户应用程序的syslog信息 uucp uucp子系统的syslog信息 local0..7 种本地类型的syslog信息,这些信息可以又用户来定义 * 代表以上各种设备
行的任务相关的信息。 cron.* /var/log/cron //将任何设备的emerg级别的信息发送给所有正在系统上的用户。 *.emerg * //将uucp和news设备的crit级别的信息记录到/var/log/spooler文件中。 uucp,news.crit /var/log/spooler //将和系统启动相关的信息记录到/var/log/boot.log文件中。 local7.* /var/log/boot.log
[选择器] [动作]
注意：中间的分隔符必须是Tab 字符！ 选择器是由“设备” 和“优先级” 构成，中间用点号
连接。 动作
“动作” 选项可以对日志进行处理。可以把它存入 硬盘，转发到另一台机器或显示在管理员的终端 上。
4
动作：
文件名
写入某个文件，要注意绝对路径。
@ 主机名 转发给另外一台主机的syslogd 程序。
使用相关的信息。 authpriv.* /var/log/secure //将mail设备中的任何级别的信息记录到/var/log/maillog文件中，这主要是和电子邮件相
关的信息。 mail.* /var/log/maillog //将cron设备中的任何级别的信息记录到/var/log/cron文件中，这主要是和系统中定期执
8
修 改 syslog.conf 配 置 文 件 之 后 ， 必 须 通 知 syslogd和klogd重新读取该配置文件，这样 改动才会生效。
Service syslog restart Kill –HUP `cat /var/run/syslogd.pid` Kill –HUP `cat /var/run/klogd.pid` killall -HUP syslog killall -HUP klog
9
常见的日志文件
所有的日志文件通常存放在“/var/log”目录 下。
为了查看日志文件的内容必须要有“root”权 限。
为了保证Linux系统正常运行、准确解决遇 到的各种各样的系统问题， 认真地读取日 志文件是管理员的一项非常重要的任务。
Linux系统中日志分为两大类:
系统日志
应用程序日志
使用cat、tac、more、less、tail和grep查看文本 日志文件。
使用相关命令查看非文本日志文件 例如：
使用lastlog命令读取日志文件/var/log/lastlog检查用 户上次登录的时间
# lastlog
last命令往回搜索wtmp来显示自从文件第一次创建 以来登录过的用户
6
优先级
“优先级”代表信息的重要性，可以是： emerg 紧急，处于Panic状态。通常应广播到所有用户； alert 告警，当前状态必须立即进行纠正。例如，系统数
据库崩溃； crit 关键状态的警告。例如，硬件故障； err 其它错误； warning 警告； notice 注意；非错误状态的报告，但应特别处理； info 通报信息； debug 调试程序时的信息； none 通常调试程序时用，指示带有none级别的类型产生
系统日志管理
日志文件概述 系统的日志文件不仅可以让管理员了解系
统状态，在系统出现问题时系统管理员可 以查阅日志文件来确定系统当前状态、观 察入侵者踪迹、寻找某特定程序(或事件)相 关的数据
1
日志和日志系统简介
日志的主要用途
系统审计、监测追踪和分析统计。
日志系统的由来
Linux内核由很多子系统组成，包括网络、文件访问、 内存管理等。 子系统需要给用户传送一些消息，这些 消息内容包括消息的来源及其重要性等。 所有的子系 统都要把消息送到一个可以维护的公用消息区，于是， 就有了syslog日志系统。