1.了解日志:

日志:记录系统和程序运行的信息,用于排查故障和诊断系统状态。

日志的分类:内核及系统日志一般有rsyslog进行统一管理;用户日志记录用户行为日志;程序日志一般独立管理。


2.常见的日志文件及其作用:

/var/log/messages  包括内核及系统日志,大多的日志都在这文件中。推荐使用命令:tail -f  /var/log/messages 或者:less  /var/log/messages

/var/log/cron  计划任务的日志

/var/log/dmesg 启动过程的日志,一般系统的硬件加载过程中的信息都会被记录。推荐命令:grep error  /var/log/dmesg(检查启动过程是否有错误)

/var/log/secure  用户认证相关的信息


3.内核、系统、用户日志的的集中管理:rsyslog

rpm -qa |grep rsyslog

rpm -ql rsyslog

man 5 rsyslog.conf  ##配置文件的帮助

vi  /etc/rsyslog.conf  ##调整日志的记录行为

#rules(规则):

设备.优先级 日志存放位置(文件/IP)

设备:auth(认证,与security相同),cron(计划任务),kern(内核),mail(邮件),user(用户),local0-local7(用户自定义日志存放位置)

优先级:严重级别重第到高--debug(调试)--info(信息)--notice(注意)--warn(提醒)--error(错误)--crit(严重)--alert(警告)--emerg(紧急,等于panic(恐慌))

*:可以表示所有的设备或者优先级

;--》隔开多个区域

*.info;mail.none;authpriv.none;cron.none /var/log/messages  #将所有设备产生的info及以上级别的日志记录在/var/log/messages中,但mail.none等排除了邮件、计划任务、认证日志。

authpriv.* /var/log/secure   ##将所有认证日志记录在文件中

:wq

/etc/init.d/rsyslog  restart

chkconfig rsyslog on   ##设置为开机启动


4.查看日志文件:

tail -1  /var/log/messages

时间标签:主机名或IP:程序或设备:日志内容

tail -2  /var/log/secure  ##查看登陆日志

last   ##查看登陆成功日志

lastb  ##查看登陆失败的日志

常用分析日志的工具:vi,less,tail,awk,sed,其他编程工具。


5.日志管理策略:

备份,控制访问权限,集中管理,延长保留期限。

经常关注:联网日志、文件传输日志、用户登陆记录日志。


修改root密码:

reboot-->按下键-->e-->下键选择kernel-->e-->输入空格1-->回车-->b-->进入单用户模式:passwd  root修改密码-->init 3