Linux--SysLog
Linux之syslog[@more@]
日誌檔案由系統日誌和核心日誌監控程式syslogd 與klogd 控制, 在/etc/syslog.conf 檔案中配置這兩個監控程式預設活動。 日誌檔案按/etc/syslog.conf 配置檔案中的描述進行組織。下圖是/etc/syslog.conf 檔案的內容:
[root@localhost ~]# cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
local7.* /var/log/boot.log
syslog.conf 行的基本語法是:
[ 訊息型別] [ 處理方案] 注意:中間的分隔符必須是Tab 字元!訊息型別是由" 訊息來源" 和" 緊急程度" 構成,中間用點號連線。例如上圖中,news.crit 表示來自news 的“ 關鍵” 狀況。在這裡,news 是訊息來源,crit 代表關鍵狀況。萬用字元* 可以代表一切訊息來源。 說明:第一條語句*.info ,將info 級以上(notice,warning,err,crit,alert 與emerg )的所有訊息傳送到相應日誌檔案。日誌檔案類別(按重要程度分類)日誌檔案可以分成八大類,下面按重要性從大到下列出:
emerg emergency , 系統不可用
alert , 需要立即被修改的條件crit critical , 阻止某些工具或子系統功能實現的錯誤條件
errerror , 錯誤warning 警告notice 通知info 資訊debug 除錯-------------------------------------------------------簡單列一下訊息來源:
auth 認證系統,如login 或su ,即詢問使用者名稱和口令
cron 系統執行定時任務時發出的資訊
daemon 某些系統的守護程式的 syslog ,如由in.ftpd 產生的log
kern 核心的資訊
lpr 印表機的資訊
mail 處理郵件的守護程式發出的資訊
mark 定時傳送訊息的時標程式
news 新聞組的守護程式的資訊
user 本地使用者的應用程式的資訊
uucp uucp 子系統的資訊
local0~local7 系統預留
* 表示所有可能的資訊來源----------------------------------------------------------處理方案
" 處理方案" 選項可以對日誌進行處理。可以把它存入硬碟,轉發到另一臺機器或顯示在管理員的終端上。處理方案一覽:檔名 寫入某個檔案,要注意絕對路徑。
@ 主機名 轉發給另外一臺主機的syslogd 程式。
@IP 地址 同上,只是用IP 地址標識而已。
/dev/console 傳送到本地機器螢幕上。
* 傳送到所有使用者的終端上。
| 程式 透過管道轉發給某個程式。例如:
kern.emerg /dev/console( 一旦發生核心的緊急狀況,立刻把資訊顯示在控制檯上) 說明: 如果想修改syslogd 的記錄檔案,首先你必須殺掉syslogd 程式,在修改完畢後再啟動syslogd 。攻擊者進入系統後通常立刻修改系統日誌,因 此作為網管你應該用一臺機器專門處理日誌資訊,其他機器的日誌自動轉發到它上面,這樣日誌資訊一旦產生就立刻被轉移,這樣就可以正確記錄攻擊者的行為。將日誌檔案記錄到遠端主機 。說到這遠端主機就是我們本文要配置的syslog 伺服器。
----------------------------------------------------------------
2.syslog 伺服器配置實踐步驟例如: 10.0.0.1 為syslog 伺服器 10.0.0.2 為客戶機 步驟: 1. 服務端配置
vi /etc/sysconfig/syslog
sysLOGD_OPTIONS = “-r –m 0” ## -r 意思是接受遠端的日誌
重起syslog 服務 /etc/rc.d/init.d/syslog restart
2. 客戶端配置
vi /etc/syslog.conf
在訊息去向處新增 @10.0.0.1 例如:*.info;mail.none;authpriv.none;cron.none @10.0.0.1
存檔退出重起服務
/etc/rc.d/init.d/syslog restart
( 知識點:直接檢視日誌尾部: tail /var/log/messages 或者tail /var/log/boot 這樣就可以看到syslog 重起)
--------------------------------------------------------------------注意:日誌服務使用的埠是:514/udp syslog 伺服器應該開啟這個埠
syslog 日誌伺服器端不能根據源地址過濾,為了防止外網向日志伺服器寫垃圾資訊要在網路拓撲中解決,閘道器上做限制外網訪問514 埠。如果伺服器比較多的話,這樣形成的日誌比較大,要做好日誌的分析
------------------------------自己補充內容----------------------------
日誌自動壓縮回滾:
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/9697/viewspace-1024485/,如需轉載,請註明出處,否則將追究法律責任。