(2.17)--17. Linux系统及应用日志系统.pdf

日志系统 日志是系统运行信息的重要记录档案，可以帮助确定故障原因、运行状态和安全威胁等 情况，系统管理员要非常熟悉各种不同的日志，调整设置，分析数据，及时做出合理的判断， 并采取合适的措施。 日志大类划分可以分为系统日志和应用日志，本节课讲述的是系统日志。 日志目录 1. Linux 操作系统的系统日志一般存放在/var/log 目录中。可以先查看系统日志目录中的 文件，熟悉常用的系统 日志文件。/var/log 目录中 日志文件比较多，主要的日志文件包括 messages 、secure、authrity、boot 、wtmp 、btmp 、dmesg 等，还有一些带有日期数字的转储 日志文件。 2. 配置文件/etc/rsyslog.conf 日志服务的配置文件是/etc/rsyslog.conf 。文件中有较多注释和空行，可以过滤掉这些次 要 内容，仅显示主配置行。系统日志的配置文件局部节选示例如图 1 所示。 grep -vE ^$|^# /etc/rsyslog.conf 图 1 /etc/rsyslog.conf 配置文件节选 日志文件中关于日志的配置解读。日志配置行包括日志信息和记录文件两列。日志信息 包括日志分类（图 2 ）和级别（图 3 ）。系统的日志记录文件一般都是放置在/var/log 目录中。 图 2 日志分类 图 3 日志级别 级别的设置： - .级别 指记录高于等于某个级别的日志（严重性高于等于，编码低于等于） - .=级别 指记录等于某个级别的日志 - .!级别 指除某个级别外全部记录 - .none 指排除某个类别 根据 图 1 中的设置，“*.info”表示所有分类的高于 info 级别的信息都记录到 日志文件 /var/log/messages 中，但是 mail 、authpriv 、cron 三个分类的所有信息都不要记录到 messages 文件中。mail 分类的所有级别的 日志信息都记录到/var/log/maillog 文件中。authpriv 分类的 日志信息写入/var/log/secure 文件中。cron 分类的 日志信息写入/var/log/cron 文件 。 自定义日志 3. 管理员可以使用 自定义分类管理 日志，对特定的 日志进行配置。这里 以 sshd 服务的 日 志为例说明如何定制 日志。 sshd 的配置文件是/etc/ssh/sshd_config ，其中设置了日志分类为 authpriv，如图 4 所示 。 图 4 ssh 日志类型 从日志配置文件 rsyslog.conf 中（图 1）可以看到 authpriv.*的日志记录在/var/log/secure 文件中。下面通过自定义日志分类把 sshd 从中分离出来单独记录。 步骤 1：修改/etc/ssh/sshd_config 文件中的日志分类为 local0 （图5 ）。