提取linux日志范文模板 22页Word下载.docx
《提取linux日志范文模板 22页Word下载.docx》由会员分享,可在线阅读,更多相关《提取linux日志范文模板 22页Word下载.docx(18页珍藏版)》请在冰豆网上搜索。
/var/log/boot.log:
记录开机或者是一些服务启动的时候,所显示的启动或关闭讯息;
/var/log/maillog或/var/log/mail/*:
纪录邮件存取或往来(sendmail与pop3)的使用者记录;
/var/log/cron:
记录crontab这个例行性服务的内容的。
/var/log/httpd,/var/log/news,/var/log/mysqld.log,/var/log/samba,
/var/log/procmail.log:
分别是几个不同的网络服务的记录文件!
登录文件的纪录程序之一:
syslogd
通常经过syslog而记录下来的数据主要有:
事件发生的日期与时间;
发生此事件的主机名称;
启动此事件的服务名称(如samba,xinetd等)或函式名称(如libpam..);
该讯息数据内容
syslogd的daemon配置文件:
/etc/syslog.conf
内容语法是这样的:
服务名称[.=!
]讯息等级讯息记录的文件名或装置或主机
#例如底下:
mail.info/var/log/maillog_info
服务名称:
该服务产生的讯息会被纪录的意思。
syslog认识的服务主要有底下这些:
auth,authpriv:
主要与认证有关的机制,例如telnet,login,ssh等需要认证的服务都是使用此一机制;
cron:
例行性命令cron/at等产生讯息记录的地方;
daemon:
与各个daemon有关的讯息;
kern:
核心(kernel)产生讯息的地方;
lpr:
打印相关的讯息!
mail:
只要与邮件收发有关的讯息纪录都属于这个;
news:
与新闻群组服务器有关的东西;
syslog:
syslogd这支程序本身产生的信息啊!
user,uucp,local0~local7:
与Unixlike机器本身有关的一些讯息。
讯息等级
系统将讯息分为七个主要的等级,依序是由不重要排列到重要讯息等级:
info:
仅是一些基本的讯息说明而已;
notice:
比info还需要被注意到的一些信息内容;
warning或warn:
警示讯息,可能有问题,但是还不至于影响到某个daemon运作。
err或error:
一些重大的错误讯息,这就要去找原因了。
crit:
比error还要严重的错误信息,crit是临界点(critical)的缩写,已经很严重了!
alert:
警告警告,已经很有问题的等级,比crit还要严重!
emerg或panic:
疼痛等级,意指系统已经几乎要当机的状态!
很严重的错误信息了。
除了这些有等级的讯息外,还有两个特殊的等级,那就是debug(错误侦测等级)与none(不需登录等级)两个,当要作一些错误侦测,或者是忽略掉某些服务的信息时,就用这俩!
在讯息等级之前还有[.=!
]的连结符号!
他代表的意思是:
.:
代表比后面还要高的等级(含该等级)都被记录下来的意思,例如:
mail.info代表只要是mail的信息,而且该信息等级高于info(含info)时,就会被记录下来。
.=:
代表所需要的等级就是后面接的等级而已!
.!
:
代表不等于。
日志文件记录的文件名或装置或主机常见的放置处:
文件的绝对路径:
通常就是放在/var/log里头的文件!
打印机或其它:
例如/dev/lp0这个打印机装置(即使被黑客可以删除掉日志文件,但是最终删除不了打印出来的日志信息)
使用者名称:
显示给使用者!
远程主机:
例如@test.adsldns.org,要对方主机也能支持才行!
*:
代表目前在线的所有人,类似wall这个指令的意义!
看看在尚未开启网络服务的情况下来自FedoraCoreRelease4的相关资料
[root@linux~]#vi/etc/syslog.conf
#kern.*/dev/console
#只要是kernel产生的讯息,全部都送到console去!
默认是关闭的。
*.info;
mail.none;
authpriv.none;
cron.none/var/log/messages
#在已知各服务的讯息中,不要记录到这个文件中,把已知的服务记录到单独的日志文件中去,方便日后查询,否则messages这个文件就太混乱了。
这个文件非常重要,所有未知的信息都会被记录在这个文件中,所以有问题,找这个文件就八九不离十了。
authpriv.*/var/log/secure
#这个就是经过一些身份确认的行为之后,需要记录身份的文件。
mail.*-/var/log/maillog
#只要跟mail有关的(不论是pop3还是sendmail)都会被纪录到这个文件!
cron.*/var/log/cron
#例行性命令相关的。
*.emerg*
#任何时候发生的警告讯息都会显示给在线的所有人!
那个*就是目前在线的所有人。
uucp,news.crit/var/log/spooler
#记录新闻错误高于crit的等级的信息,写入spooler当中!
local7.*/var/log/boot.log
#将开机的当中的讯息写入/var/log/boot.log中!
每个版本的syslog.conf差异是很大的,所以,每个登录文件记录的数据其实不很固定。
例:
让所有的信息都额外写入到/var/log/admin.log!
*.info/var/log/admin.log》》如果服务器硬盘容量够大,这么做也不失为一个良策。
[root@linux~]#/etc/init.d/syslogrestart
[root@linux~]#ll/var/log/admin.log
-rw-------1rootroot122Oct2322:
21/var/log/admin.log》》注意权限一台主机管理多台主机登录文件
#1.先取得portnumber的信息!
[root@linux~]#grep514/etc/services
syslog514/udp》》syslog的固定端口
#注意,/etc/services里面必须要存在这一行才行,否则自行手写!
#2.修改syslogd的启动配置文件
[root@linux~]#vi/etc/sysconfig/syslog
#SYSLOGD_OPTIONS="
-m0"
改成底下这样子
SYSLOGD_OPTIONS="
-m0-r"
#3.重新启动与观察syslogd!
[root@linux~]#netstat-tlunp
ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programnameudp000.0.0.0:
5140.0.0.0:
*24314/syslogd
Linux主机已经可以接收来自其它主机的登录信息了!
client端的设定就简单了!
只要指定某个信息传送到这部主机即可!
比如,登录文件主机IP为192.168.1.100,而client端希望所有的数据都送给主机,可以在/etc/syslog.conf里面新增这样的一行:
*.*@192.168.1.100
未来主机上面的登录文件当中,每一行的主机名称就会显示来自不同主机的信息了。
登录文件服务程序之二,轮滚(logrotate):
所谓的logrotate,就是将旧的log文件更名,然后建立一个空的log文件,如此一来,新的log文件将从零开始记录,然后只要将旧的log文件留下一段时间!
旧的纪录保存了一段时间没有问题,那么就可以让系统自动的将他删掉,否则占用硬盘空间。
如图比如规定了message日志文件轮滚3次:
最初的日志文件message
轮滚一次后messagemessage1
轮滚二次后messagemessage1message2
轮滚三次后messagemessage1message2message3》》删除(如果再次轮滚,message3就会被删除,而message2就会变成message3,且系统会新建立一个message)
注意,相同颜色的mssage表示的是一个内容的文件,只不过每次轮滚他的名字后面会改一次数字。
logrotate的配置文件
篇二:
在Linux中使用日志来排错
人们创建日志的主要原因是排错。
通常你会诊断为什么问题发生在你的Linux系统或应用程序中。
错误信息或一系列的事件可以给你提供找出根本原因的线索,说明问题是如何发生的,并指出如何解决它。
这里有几个使用日志来解决的样例。
登录失败原因
如果你想检查你的系统是否安全,你可以在验证日志中检查登录失败的和登录成功但可疑的用户。
当有人通过不正当或无效的凭据来登录时会出现认证失败,这通常发生在使用SSH进行远程登录或su到本地其他用户来进行访问权时。
这些是由插入式验证模块(PAM)来记录的。
在你的日志中会看到像Failedpassword和userunknown这样的字符串。
而成功认证记录则会包括像Acceptedpassword和sessionopened这样的字符串。
失败的例子:
1.pam_unix(sshd:
auth):
authenticationfailure;
logname=uid=0euid=0tty=sshruser=rhost=10.0.2.2
2.Failedpasswordforinvaliduserhooverfrom10.0.2.2port4791ssh2
3.pam_unix(sshd:
checkpass;
userunknown
4.PAMservice(sshd)ignoringmaxretries;
6>
3
升级会员 