Linux维护之日志篇

一. syslog程序

1.syslog程序的作用

系统内核和许多系统程序会产生错误信息、警告信息和其他信息。这些信息会被写到一个文件,执行这个过程的程序就是syslog,它能设置成根据输出信息的程序或重要程度将信息排序到不同的文件。例如,由于内核信息更重要且需要有规律地阅读以确定问题出在哪里,所以要把内核信息与其他信息分开来,单独定向到一个分离的文件中。

日志文件通常存放在/var/log目录下,为了查看日志文件的内容必须要有root权限。日志文件中的信息很重要,只有超级用户有访问这些文件的权限。

 

2.syslog程序

syslog已被许多日志函数采用,它被用在许多保护措施中。任何程序都可以通过syslog记录事件。syslog可以记录系统事件,可以写到一个文件或设备中,或给用户发送一个信息。它能记录本地事件或通过网络记录另一个主机上的事件。

syslog程序依赖于两个重要的文件:/etc/syslogd(守护进程)和/etc/syslog.conf配置文件。习惯上,多数syslog信息被写到/var/adm或/var/log目录下的信息文件中(messages.*)。一个典型的syslog记录包括生成程序的名字和一个文本信息,它还包括一个设备和一个优先级范围(但不在日志中出现)。

每个syslog消息被赋予下面的主要设备之一。

LOG_AUTH :认证系统login、su、getty等。
LOG_AUTHPRIV :同LOG_AUTH,但只登录到所选择的单个用户可读的文件中。
LOG_CRON :cron守护进程。
LOG_DAEMON :其他系统守护进程,如routed。
LOG_FTP :文件传输协议ftpd、tftpd。
LOG_KERN :内核产生的消息。
LOG_LPR :系统打印机缓冲池lpr、lpd。
LOG_MAIL :电子邮件系统。
LOG_NEWS :网络新闻系统。
LOG_SYSLOG :由syslogd(8)产生的内部消息。
LOG_USER :随机用户进程产生的消息。
LOG_UUCP :UUCP子系统。
LOG_LOCAL0~LOG_LOCAL7 :为本地使用保留。

syslog为每个事件赋予几个不同的优先级。

LOG_EMERG :紧急情况。
LOG_ALERT :应该被立即改正的问题,如系统数据库被破坏。
LOG_CRIT :重要情况,如硬盘错误。
LOG_ERR :错误。
LOG_WARNING :警告信息。
LOG_NOTICE :不是错误情况,但是可能需要处理。
LOG_INFO :情报信息。
LOG_DEBUG :包含情报的信息,通常只在调试一个程序时使用。

 

3.syslog.conf配置文件

syslog.conf文件指明syslogd程序记录日志的行为,该程序在启动时查询配置文件。该文件由不同程序或消息分类的单个条目组成,每个占一行。对每类消息提供一个选择域和一个动作。这些域由tab符隔开,选择域指明消息的类型和优先级,动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成的。当指明一个优先级时,syslogd将记录一个拥有相同或更高优先级的消息。所以如果指明crit,那所有标为crit、alert和emerg的消息将记录。每行的行动域指明当选择域选择了一个给定消息后应该把它发送到哪儿。例如,如果想把所有邮件消息记录到一个文件中,向syslog.conf文件添加以下内容:

#Log all the mail messages in one place
mail.* /var/log/maillog

其他设备也有自己的日志。UUCP和news设备能产生许多外部消息。syslog程序把这些消息存到自己的日志(/var/log/spooler)并把级别限为“err”或更高。例如:

#Save mail and news errors of level err adn higher in aspecial file.
uucp,news.crit /var/log/spooler

当一个紧急消息到来时,可能想让所有的用户都得到,也可能想让自己的日志接收并保存,如下所示:

#Everybody gets emergency messages, plus log them on anter machne
*.emerg *
*.emerg @linuxid.com.cn

alert消息应该写到root和riger的个人账户中,向syslog.conf文件添加以下内容:

#Root adn Tiger get alert and higher messages
*.alert root,tiger

有时syslogd将产生大量的消息。例如,内核(Kernel设备)可能很冗长,用户可能想把内核消息记录到/dev/console中。下面的例子表明内核日志记录被注释掉了:

#Log all kernel messages to the console
#Logging much else clutters up the screen
#kern.* /dev/console

下面的例子把info或更高级别的消息记录到/var/log/messages(mail除外),级别“none”禁止一个设备:

#Log anything(except mail)of level info or higher
#Don't log private authentication messages!
*.info:mail.none;authprive.noe /var/log/messages

二.常用的日志文件

1./var/log/boot.log

该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息。

 

2./var/log/cron

该日志文件记录crontab守护进程crond所派生的子进程的动作,前面加上用户、登录时间和PID,以及派生出的进程的动作。执行某个命令的一个动作是cron派生出一个调度进程的常见情况。REPLACE(替换)动作记录用户对它的cron文件的更新,该文件列出了要周期性执行的任务调度。RELOAD动作在REPLACE动作后不久发生,这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该文件可能会查到一些反常的情况。

 

3./var/log/maillog

该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。

 

4./var/log/messages

该日志文件是许多进程日志文件的汇总,从该文件可以看出任何***企图或成功的***。该文件每一行包含日期、主机名、程序名,后面是包含 PID或内核标识的方括号、一个冒号和一个空格,最后是消息。该文件有一个不足,就是被记录的***企图和成功的***事件被淹没在大量的正常进程的记录中。但该文件可以由文件/etc/syslog进程定制,由配置文件/etc/syslog.conf决定系统如何写/var/messages。

 

5./var/log/syslog

默认情况下Linux系统不生成该日志文件,但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log /messages日志文件不同,它只记录警告信息,常常是系统出问题的信息,所以更应该关注该文件。要让系统生成该日志文件,需要在/etc /syslog.conf文件中加上“*.warning/var/log/syslog”。该日志文件能记录当用户登录时login记录下错误口令、 Sendmail的问题和su命令执行失败等信息。

 

6./var/log/secure

该日志文件记录与安全相关的信息。

 

7./var/log/lastlog

该日志文件记录最近成功登录事件和最后一次不成功登录事件,由login生成。在每次用户登录时被查询,该文件是二进制文件,需要使用 lastlog命令查看,根据UID排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过,就显示为“**Never logged in**”。该命令只能以root权限执行。

系统账户诸如bin、daemon、adm、uucp、mail等不应该登录,如果发现这些账户已经登录,就说明系统可能已经被***了。若发现记录的时间不是用户上次登录的时间,则说明该用户的账户已经泄露了。

 

8./var/log/wtmp

该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件也会起来越大,增加的速度取决于系统用户登录的次数。

转载自:http://blog.sina.com.cn/s/blog_6954b9a90100xqrd.html