第十二章 Linux——日志管理

基本介绍

1. 日志文件是重要的系统信息文件，其中记录了许多重要的系统事件，包括用户的登录信息、系统的启动信息、系统
   的安全信息、邮件相关信息、各种服务相关信息等。
2. 日志对于安全来说也很重要，它记录了系统每天发生的各种事情，通过日志来检查错误发生的原因，或者受到攻击
   时攻击者留下的痕迹。
3. 可 以这样理解日志是用来记录重大事件的工具

系统常用日志

/var/log/目录就是系统日志文件的保存位置，看张图

系统常用日志

应用案例
使用root用户通过xshell6登陆，第一次使用错误的密码，第二次使用正确的密码登录成功
看看在日志文件/var/log/secure里有没有记录相关信息

日志管理服务

CentOS7.6日志服务是rsyslogd ，CentOS6.x 日志服务是syslogd。rsyslogd 功能更强大。rsyslogd 的使用、日志
文件的格式，和syslogd服务兼容的。原理示意图

查询Linux中的rsyslogd服务是否启动
ps aux | grep “rsyslog” I grep -V "grep’
查询rsyslogd服务的自启动状态
systemctl list-unit-files | grep rsyslog
配置文件: /etc/rsyslog conf
编辑文件时的格式为:
**
存放日志文件
其中第一个代表日志类型，第二个代表日志级别

1. 日志类型分为:
   auth ##pam产生的日志
   authpriv ##ssh、ftp等登录信息的验证信息
   corn ##时间任务相关
   kern ##内核
   lpr ##打印
   mail ##邮件
   mark(syslog) -rsyslog##服务内部的信息，时间标识
   news ##新闻组
   user ##用户程序产生的相关信息
   uucp ##unix to nuix copy 主机之间相关的通信
   local 1-7 #自定义的日志设备

2. 日 志级别分为:
   debug #有调试信息的，日志通信最多
   info ##一般信息日志，最常用
   notice ##最具有重要性的普通条件的信息
   warning ##警告级别
   err ##错误级别，阻止某个功能或者模块不能正常工作的信息
   crit ##严重级别，阻止整个系统或者整个软件不能正常工作的信息
   alert ##需要立刻修改的信息
   emerg ##内核崩溃等重要信息
   none ##什么都不记录
   注意:从上到下，级别从低到高，记录信息越来越少

由日志服务rsyslogd 记录的日志文件，日志文件的格式包含以下4列:

1. 事件产生的时间
   2)产生事件的服务 器的主机名
   3)产生事件的服务名或程序名
   4)事件的具体信 息

日志如何查看实例
查看一下/var/log/secure 日志，这个日志中记录的是用户验证和授权方面的信息来分析如何查看

V日志管理服务应用实例
在/etc/rsyslog. conf中添加一- 个日志文件/var/log/hsp.log,当有事件发送时(比如sshd服务相关事件)，该文件会接收到.
信息并保存.给小伙伴演示重启，登录的情况，看看是否有日志保存

日志轮替

基本介绍

日志轮替就是把旧的日志文件移动并改名，同时建立新的空日志文件，当旧日志文件超出保存的范围之后，就会进行删除

日志轮替文件命名

1. centos7 使用logrotate 进行日志轮替管理，要想改变日志轮替文件名字，通过/etc/logrotate .conf配置文件中“dateext"
   参数:
2. 如果配置 文件中有“dateext” 参数，那么日志会用日期来作为日志文件的后缀，例如“ecure-20201010” 。这样日志文件名不会重叠，也就不需要日志文件的改名，只 需要指定保存日志个数，删除多余的日志文件即可。
3. 如果配置文件中没有“dateext”参数，日志文件就需要进行改名了。当第一次进行日志轮替时，当前的“ecure” 日志会自动改名为“secure.1”，然后新建“secure”日志，用来保存新的日志。 当第二次进行日志轮替时，“secure.1”
   会自动改名为“secure.2” ，当前的 “secure”日志会自动改名为“secure.1" ，然后也会新建“secure"日志，用来
   保存新的日志，以此类推。

logrotate配置文件

/etc/logrotate .conf为logrotate 的全局配置文件
rotate log files weekly,每周对日志文件进行一次轮替
weekly

keep 4 weeks worth of backlogs,共保存4份日志文件，当建立新的日志文件时，旧的将会被删除
rotate 4

create new (empty) log files after rotating old ones,创建新的空的日志文件，在日志轮替后
create

usedateasasuffixoftherotatedfile,使用日期作为日志轮替文件的后缀
dateext

uncommentthisifyouwantyourlogfilescompressed,日志文件是否压缩。如果取消注释，则日志会在转储的同时进
行压缩.

compress
#RPM packages drop log rotation information into this directory
include /etc/logrotate.d

#包含/etc/logrotate.d/目录中所有的子配置文件。也就是说会把这个目录中所有子配置文件读取进来,
#下面是单独设置，优先级更高。
#no packages own wtmp and btmp - we’ll rotate them here
/var/log/wtmp {
monthly#每月对日志文件进行一-次轮替

create 0664 root utmp#建立的新日志文件，权限是0664，所有者是root ，所属组是utmp组.
minsize 1M
#日志文件最小轮替大小是1MB。也就是日志一定要超过1MB才会轮替，否则就算时间达到
一个月，也不进行日志转储
rotate 1 #仅保留一个日志备份。也就是只有wtmp和wtmp.1 日志保留而已
/var/log/btmp {
missingok#如果日志不存在，则忽略该日志的警告信息
monthly
create 0600 root utmp
rotate 1

create 0664 root utmp#建立的新日志文件，权限是0664，所有者是root ，所属组是utmp组.
minsize 1M
#日志文件最小轮替大小是1MB。也就是日志一定要超过1MB才会轮替，否则就算时间达到
一个月，也不进行日志转储
rotate 1 #仅保留一个日志备份。也就是只有wtmp和wtmp.1 日志保留而已
/var/log/btmp {
missingok#如果日志不存在，则忽略该日志的警告信息
monthly
create 0600 root utmp
rotate 1
sharedscripts
在此关键字之后的脚本只执行一次。
prerotate/endscript
在日志轮替之前执行脚本命令。
postrotate/endscript
在日志轮替之后执行脚本命令。

自定义加入日志轮转

1. 第一种方法是直接在/etc/logrotate conf 配置文件中写入该日志的轮替策略
   2)第二种方法是在/etc/logrotate d/目录中新建立该日志的轮替文件，在该轮替文件中写入正确的轮替策略，因为该目录
   中的文件都会被“include”到主配置文件中，所以也可以把日志加入轮替。
2. 推荐使用第二种方法，因为系统中需要轮替的日志非常多，如果全都直接写入/et/logrotate.conf 配置文件，那么这
   个文件的可管理性就会非常差，不利于此文件的维护。
   4)在/etc/logrotate.d/ 配置轮替文件- -览
   

应用实例

看一个案例，在/etc/logrotate .conf进行配置，或者直接在/etc/logrotate.d/ 下创建文件hsplog 编写如下内容，具体
轮替的效果可以参考/var/og下的boot log情况.

日志轮替机制原理

日志轮替之所以可以在指定的时间备份日志，是依赖系统定时任务。在/etc/cron.daily/目录， 就会发现这个目录中是
有logrotate文件(可执行)，logrotate 通过这个文件依赖定时任务执行的。

查看内存日志

journalctl
可以查看内存日志，这里我们看看常用的指令
journalctl
#查看全部
journalctl -n3 #查看最新3 条
<journalctl-since19:00-until19:10:10#查看起始时间到结束时间的日志可加日期.
journalctl -perr ##报错日志
journalctl -o verbose #日志详细内容
journalctl_ PID=1245
COMM=sshd
##查看包含这些参数的日志(在详细日志查看)
或者journalctl| grep sshd
注意: journalctl查看的是内存日志， 重启清空
演示案例:
使用journalctl| grep sshd来 看看用户登录清空，重启系统，再次查询，看看日志有什么变化没有