Linux系统日志及日志分析.docxVIP

Linux系统拥有非常灵活和强人的日志功能，可以保存儿乎所有的操作记录，并可以从屮检 索出我们需要的信息。 大部分Linux发行版默认的日志守护进稈为syslog,位于/etc/syslog或/etc/syslogd,默 认配置文件为/etc/syslog.conf,任何希望生成日志的程序都可以向syslog发送信息。 Linux系统内核和许多程序会产生各种错误信息、警告信息和英他的提示信息，这些信息对 管理员了解系统的运行状态是非常有用的，所以应该把它们写到FI志文件中去。完成这个过 程的程序就是syslogo syslog可以根据日志的类别和优先级将日志保存到不同的文件中。 例如,为了方便查阅，可以把内核信息与其他信息分开，单独保存到一个独立的日志文件中。 默认配置下，日志文件通常都保存在“/var/log”目录下。 日志类型 下面是常见的日志类型，但并不是所有的Linux发行版都包含这些类型： 类型 说明 auth 用户认证时产生的日志，如login命令、su命令。 authpriv 与auth类似，但是只能被特定用户查看。 con sole 针对系统控制台的消息。 cron 系统定期执行计划任务时产生的日志。 daem on 某些守护进程产生的日志。 ftp 卜1 H服务。 kern 系统内核消息。 Iocal0.local7 由自定义程序使用。 Ipr 与打印机活动有关。 mail 邮件日志。 mark 产生时间戳。系统每隔一段时间向日志文件中输出当前时间，每行的格式类 似于May 26 11:17:09 rs2??MARK 可以由此推断系统发生故障的大概时 间。 news 网络新闻传输协议(nntp)产生的消息。 ntp 网络时间协议(ntp)产生的消息。 user 用户进程。 uucp UUCP子系统。  日志优先级 常见的日志优先级请见下标: 优先级 说明 emerg 紧急情况，系统不可用（例如系统崩溃），一般会通知所有用户。 alert 需要立即修复，例如系统数据库损坏。 crit 危险情况，例如硬盘错误，可能会阻碍程序的部分功能。 err 一般错误消息。 warning 警告。 notice 不是错误，但是可能需要处理。 info 通用性消息，一般用来提供有用信息。 debug 调试程序产生的信息。 none 没有优先级，不记录任何日志消息。 常见日志文件 所有的系统应用都会在/var/log目录下创建日志文件，或创建子目录再创建tl志文件。例 如： 文件/目录 说明 /var/log/boot.log 开启或重启日志。 /var/log/cron 计划任务日志 /var/log/maillog 邮件日志。 /var/log/messages 该日志文件是许多进程日志文件的汇总，从该文件可以看出任何入侵 企图或成功的入侵。 /var/log/httpd 目录 Apache HTTP服务日志。 /var/log/samba H 录 samba软件日志 /etc/syslog.conf 文件 /etc/syslog.conf是syslog的配置文件，会根据日志类型和优先级来决定将日志保存到何 处。典型的syslog.conf文件格式如下所示： *.err;kern. debug;auth? notice /dev/console daemon, auth. notice /var/log/messages lpr. info /var/log/lpr. log mail. * /var/log/mail. log ftp. * /var/log/ftp. log auth. * @see. xidian. edu. cn auth. * root,amrood netinfo. err /var/log/netinfo. log install.* /var/log/instdll. log *? emerg * *? alert program name mark. * /dev/console 第一列为Fl志类型和Fl志优先级的组合，侮个类型和优先级的组合称为一个选择器；后面一 列为保存tl志的文件、服务器，或输出日志的终端。syslog进程根据选择器决定如何操作 日志。 对配置文件的几点说明： H志类型和优先级由点号(.)分开，例如kern.debug表示由内核产生的调试信息。 kern.debug的优先级大于debug。 ?星号⑴表示所有，例如*.debug表示所有类型的调试信息，kern.*表示由内核产生的所有 消息。 ?可以使用逗号(,)分隔多个日志类型，使用分号(;)分隔多个选择器。 对日志的操作包括： 将日志输出到文件，例如/var/log/maillog或/dev/console。 将消