Linux日志分析及管理

日志分析及管理

Linux主要日志文件

内核及系统日志文件

由系统服务syslog统一管理，根据其主配置文件/etc/syslog.conf中的设置决定内核消息及各种系统程序消息记录到什么位置。日志格式相似

用户日志

用于记录Linux系统用户登录及退出系统的相关信息，包括：用户名、登录的终端、登录的时间、来源主机、正在使用的进程等

程序日志

有些应用程序选择自己管理一份日志文件（不交给syslog服务管理），所以格式不统一

日志文件默认情况下会放置在/var/log/目录下

下面介绍一些常用日志文件

/var/log/messages   记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等

/var/log/cron       记录crond计划任务产生的事件信息

/var/log/dmesg     Linux系统在引导过程中的事件信息

/var/log/maillog     进入或发出系统的邮件活动

/var/log/lastlog     最近几次成功登录事件和最后一次不成功登录事件

/var/log/rpmpks    系统中安装的各种rpm包列表信息

/var/log/secure     用户认证过程中的事件信息

/var/log/wtmp      每个用户登录、注销及系统启动和停机事件

/var/log/utmp      当前登录的每个用户的详细信息

Linux日志文件分析

1.内核及系统日志

查看/etc/syslog.conf配置文件中的内容

Linux中根据日志消息的重要程度不同，分为不同的等级，数字越小优先级越高

0  EMERG   紧急       会导致主机不可用的情况

1  ALERT    警告       必须马上采取措施解决的问题

2  CRIT     严重       比较严重的情况

3  ERR      错误       运行出现错误

4  WARNING 提醒      可能影响系统功能，需要提醒用户的重要事件

5  NOTICE   注意      不会影响正常功能，但是需要主意的事件

6  INFO     信息      一般信息

7  DEBUG   调试      程序或系统调试信息

注：以上图片上传到红联Linux系统教程频道中。

日志文件的基本格式：由四个字段的固定格式组成

时间标签：  消息发出的日期和时间

主机名  ：  生成消息的计算机名称

子系统名称： 发出消息应用程序的名称

消息：      消息的具体内容

2.用户日志

都是二进制文件，不能直接用tail  less 查看，使用who  w  users  last  ac 查询命令获取信息

Who    查看当前登录的各个用户的所在终端、登录日期/时间/地点等信息

W      查询utmp文件并显示当前系统中每个用户所运行的进程

Users   单独的一行打印出当前登录的用户，每个显示的用户对应一个登录回话

Last    查看wtmp文件，显示自从该文件被创建以来登录过的所有用户记录

Ac     查询wtmp文件中的用户登录和退出情况，报告用户连接的总时间

-d  选项 按每天进行统计   -p 选项 未指定用户名时，使用此选项进行分别统计

3.程序日志

相当一部分程序由程序自己维护日志记录

Webmi网页界面管理工具

日志管理策略

日志备份和归档

延长日志保存期限

控制日志访问权限

集中管理日志