用户行为及日志管理.ppt

第5章 用户行为及日志管理 软件教研室 段鸿轩 duanhongxuan@ w命令 格式：w 用户名 功能：显示当前主机中已登陆的所有用户，以及用户当前所执行的命令。当w命令指定用户名为参数，显示该用户在系统中的登录信息。 举例： # w 　　2:50pm up 2 min， 4 users， load average:0.22，0.16，0.06 　　USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT w命令的显示项目按以下顺序排列：当前时间，系统启动到现在的时间，登录用户的数目，系统在最近1秒、5秒和15秒的平均负载。然后是每个用户的各项数据，项目显示顺序如下：登录帐号、终端名称、远程主机名、登录时间、空闲时间、JCPU、PCPU、当前正在运行进程的命令行。 who命令 格式：who [选项] 功能：查看当前已登录的所有用户。 选项： -m 显示当前用户的用户名。 -H 显示用户的详细信息。 举例：#who last命令 格式：last [用户名] 功能：查看曾经登录系统的用户 举例： # last # last | more # last hong 系统日志管理 桌面环境下点击：“主菜单|系统工具|系统日志” 系统日志文件都保存于/var/log目录中 重要的日志文件 boot.log 记录系统引导的相关信息 cron 记录cron调度的执行情况 dmesg 记录内核启动时的信息，主要包括硬件和文件系统的启动信息 maillog 记录邮件服务器的相关信息 spooler 记录新闻服务器的相关信息 rpmpkgs 记录已安装的RPM软件包信息 secure 记录系统安全信息 messages 记录系统运行过程的相关信息，包括I/O、网络等 XFree86.0.log 记录图形化用户界面的XFree86服务器的相关信息 标准消息格式 每行记录一条单独的日志消息 每条消息依次包含下列内容： 事件的时间戳 事件发生源系统的主机名 产生日志消息的程序名 消息文本 whatis命令 格式：whatis [关键词] ... 功能：查询程序描述数据库并返回对该程序的一行描述文本 举例： # whatis cron # whatis cron daemon syslogd与klogd守护进程 程序可以通过syslog函数写入日志，而syslogd守护进程会监控程序提交的消息并对其进行处理 内核提交的消息由klogd（内核日志守护进程）监控并处理 日志的写入统一在syslog.conf文件中配置 syslogd和klogd进程会在初始化脚本/etc/rc.d/init.d中启动 配置系统日志 syslog.conf文件用来确定syslogd和klogd输出日志的位置 syslog.conf的每一行包括： 选择器（selector），用来表明记录哪些消息 动作（action），用于指定匹配消息的输出目的，通常是要写入消息的文件名，或应该显示该消息的机器的用户名 配置系统日志 选择器的组成 设备（facility），生成消息的程序类别 优先级（priority），事件的严重程度 调用syslog函数时需要程序指定程序类别和事件的优先级 【例】 /var/log/messages 配置系统日志 p75 表5-2 syslog.conf文件中的设备码字 p76 表5-3 syslog.conf使用的消息优先级 配置系统日志 动作包括： 写入消息到文件 写入消息到指定终端，可以为从/dev/tty1到/dev/tty6的标准终端名，也可以是控制台设备/dev/console 写入消息到指定用户列表中当前已登录用户的计算机屏幕，如输出到“root lsnow” 写入消息到远程日志文件，要在动作中使用@符号，如“@” 配置文件语法 星号*用作设备（优先级）时可以匹配所有设备（优先级），如*.emerg 星号*用作动作时意味着发送到所有登录用户 设备和优先级以句点分隔 多个选择器可以在同一行，以分号分隔 可指定多个设备或优先级，之间用逗号分隔，如uucp,news.crit 配置文件语法 关键字none用来屏蔽来自指定设备的消息，如*.info;mail.none 指定的优先级或更高优先级的消息都被包含，如*.info也包含notice、warning和更改级别的消息 可以指定多个动作输出消息到多个位置，如 *.crit /dev/console,@logging_host syslog.conf文件中各配置行独立运作，互不影响 重启日志进程 修改syslog.conf配置文件后，必须通知syslogd和klogd进程重新读取该文件，使之生