Red Hat Enterprise Linux系统管理 作者 978-7-302-19420-0j ch05.pptVIP

第5章 用户行为及日志管理 教学目标 本章重点介绍了系统用户行为的查看方式、系统日志的配置、分析、转储和管理等内容。通过本章学习，读者可了解一个安全的Linux系统需要进行怎样的管理和配置。 教学重点 熟悉系统用户行为的查看方法 掌握系统日志的配置、分析、转储和管理等方法 教学过程 系统用户行为的查看方法 系统日志的配置、分析、转储和管理等方法 5.1 查看用户行为 查看当前用户的系统行为[root@rhel5 ~]# w 查看系统当前的在线用户[root@rhel5 ~]# who 查看曾经登录系统的用户[root@rhel5 ~]# last 5.2 系统日志管理 日志文件概述 系统的日志文件不仅可以让管理员了解系统状态，在系统出现问题时系统管理员可以查阅日志文件来确定系统当前状态、观察入侵者踪迹、寻找某特定程序(或事件)相关的数据 5.2.2 syslogd与klogd守护进程 5.2.3 配置系统日志 syslog.conf文件的每一行包含如下部分： ● 选择器(selector)，用于表明应该记录哪些消息的一组单词。 ● 动作(action)，用于指定syslogd接收到与选择标准相匹配的消息时应该执行的动作，通常可以是消息要写入的文件名，或应该显示该消息的机器的用户名(动作也可以描述通过网络连接的远程计算机行为，本节后续部分将会描述) 每个用于描述待记录事件的选择器由两部分组成: ● 设备(facility)，用于指定选择哪种类型程序的代码(程序类别提供了日志入口)，实际上也就是生成该消息的程序类别 ● 优先级(priority)，用于指定选择记录的消息类型，更确切地说是表明该消息所代表事件的严重程度 5.2.4 配置文件语法 syslog.conf文件中的一些文本行，注释行(以#字符开始的行)用于解释配置行的功能 修改syslog.conf配置文件之后，必须通知syslogd和klogd重新读取该配置文件，这样改动才会生效。 5.2.5 分析日志文件 对日志文件进行分析是必要的，因为其中包含了关于Linux系统中所发生事件的有价值的记录信息。这些信息可以用来检查各种问题、观察入侵者以及生成所在系统的统计信息 系统管理员应该定期地对日志文件进行检查，以发现潜在的问题，并在这些问题变得棘手之前解决 通过对日志文件的定期检查，管理员会逐渐熟悉在日志文件中，哪些代表了正常行为、哪些代表发生了预期外的事件 5.2.6 转储日志文件 ● 清除旧日志文件，腾出磁盘空间存储新的日志信息 ● 压缩日志文件，并将其存储在日志存档介质中，以作为系统活动的长期记录 ● 重命名并压缩日志文件，以便于将来的进一步研究 通常的日志转储系统存储日志文件的周期为一个月，并为每星期生成单独的存档文件日志文件通常会被移动到其他目录和文件系统(另外的硬盘或硬盘分区)存储，以便腾出根分区的空间。 5.2.7 图形化管理系统日志 选择“系统”|“管理”|“系统日志”命令，系统将打开“系统日志查看器”窗口 在“系统日志”窗口中，可看到系统包含了很多日志文件：引导日志、Cron日志、内核启动日志和邮件日志等。单击某一日志文件，在窗口的右侧将显示该日志文件包含的信息。 * Red Hat Enterprise Linux 5系统管理 清华大学出版社 Red Hat Enterprise Linux 5系统管理 清华大学出版社 教学目标 教学重点 教学过程 在线教务辅导网： 教材其余课件及动画素材请查阅在线教务辅导网 QQ:349134187 或者直接输入下面地址： * * * Red Hat Enterprise Linux 5系统管理 清华大学出版社