linux audit 日志 查看用户_日志管理

我们平时使用linux时偶尔会遇到一些错误，那么排查错误应该去哪里开始呢，日志就是一个很好的工具，记录了一些操作和错误，当然不同的日志是记录不同的类型的，下面我们就来看看。

常见日志

一、处理日志的进程

第一类：

rsyslogd： 系统专职日志程序。

处理绝大部分日志记录，

系统操作有关的信息，如登录信息，程序启动关闭信息，错误信息

观察rsyslog程序:

[root@localhost ~]# ps aux |grep rsyslogd

root 717 0.0 0.0 219752 3880 ? Ssl 09:05 0:00 /usr/sbin/rsyslogd -n

第二类：

httpd/nginx/mysql: 各类应用程序，可以以自己的方式记录日志.

二、常见的日志文件(系统、进程、应用程序)

# tail   -10   /var/log/messages   //系统主日志文件
# tail -f /var/log/messages          //动态查看日志文件的尾部
# tailf /var/log/secure                 //认证、安全
# tail /var/log/yum.log                 //yum
# tail /var/log/maillog                   //跟邮件postfix相关
# tail /var/log/cron                       //crond、at进程产生的日志
# tail /var/log/dmesg                    //和系统启动相关
# tail /var/log/audit/audit.log          //系统审计日志
# tail /var/log/mysqld.log                //MySQL
# tail /var/log/xferlog                     //和访问FTP服务器相关
# tail  /var/log/wtmp                      //当前登录的用户（命令：w）
# tail  /var/log/btmp                       //最近登录的用户（命令last）        
# tail  /var/log/lastlog                     //所有用户的登录情况（命令lastlog ）

rsyslogd配置

rsyslogd配置
1.相关程序
yum install rsyslog logrotate //默认已安装
2.启动程序
systemctl start rsyslog.service
3.相关文件(//观察日志程序的配置文件)
rpm -qc rsyslog
/etc/rsyslog.conf //rsyslogd的主配置文件（关键）
/etc/sysconfig/rsyslog rsyslogd相关文件，定义级别（了解一下）
/etc/logrotate.d/syslog 和日志办轮转（切割）相关（任务二） 主配置文件(告诉rsyslogd进程什么日志，应该存到哪里。)
# vim /etc/rsyslog.conf
1.RULES
RULES：即规则，是一套生成日志，以及存储日志的策略。
规则由设备+级别+存放位置组成。
RULES由FACILITY+LEVEL+FILE组成。
例如:
authpriv.* /var/log/secure（SSH信息）
mail.* -/var/log/maillog（发邮件） //这里有一个-符号, 表示是使用异步的方式记录, 因为日志一般会比较大
cron.* /var/log/cron（创建任务）
*.info;mail.none;authpriv.none;cron.none /var/log/messages //系统日志排除了邮件，认证，计划日志。
2.FACILITY&LEVEL
• facility设备
☐ facility
是系统对某种类型事件的定义。如AUTHPRIV是安全事件，CRON是计划任务事件。
# man 3 syslog
☐ 设备类型
#man 5 /etc/rsyslog.conf 查看设备

☐ 程序类型示例

关于程序和设备的联系问题，程序自身会决定将日志交给哪类设备。如SSH程序会选择安全类设备。这一点由开发者定义。

#grep Facility /etc/ssh/sshd_config

SyslogFacility AUTHPRIV //认证设备

• level级别