1. 基本介绍
1) 日志文件是重要的系统信息文件,其中记录了许多重要的系统事件,包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。
2) 日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。
3) 可以这样理解: 日志是用来记录重大事件的工具
2. 系统常用的日志/var/log/ 目录就是系统日志文件的保存位置,看张图
在这里插入图片描述系统常用的日志
在这里插入图片描述如查看 lastlog 日志,打开的时候不能使用 cat 等命令,直接 lastlog 就能查看了,可以清晰地看到最后一次用户登录的信息等
在这里插入图片描述应用案例
SmartB2B行业电子商务
下载
SmartB2B 是一款基于PHP、MySQL、Smarty的B2B行业电子商务网站管理系统,系统提供了供求模型、企业模型、产品模型、人才招聘模型、资讯模型等模块,适用于想在行业里取得领先地位的企业快速假设B2B网站,可以运行于Linux与Windows等多重服务器环境,安装方便,使用灵活。 系统使用当前流行的PHP语言开发,以MySQL为数据库,采用B/S架构,MVC模式开发。融入了模型化、模板
root 用户通过 xshell 登陆,第一次使用错误的密码,第二次使用正确的密码登录成功,看看在日志文件/var/log/secure 里有没有记录相关信息由于现在 secure 信息太多了,先清空下:代码语言:bash复制echo '' > secure
在这里插入图片描述再输入 一次正确 的密码登录成功
在这里插入图片描述查看 secure 日志记录了什么信息,分别记录了两次失败的登录和一次成功的登录
在这里插入图片描述可以通过 secure 查看相关的安全方面的日志信息3. 日志管理服务 rsyslogdCentOS 7.6 日志服务是 rsyslogd , CentOS 6.x 日志服务是 syslogd 。rsyslogd 功能更强大。rsyslogd 的使用、日志文件的格式,和 syslogd 服务是兼容的。原理示意图:
在这里插入图片描述查看 rsyslogd 配置文件more /etc/rsyslog.conf
在这里插入图片描述查询 Linux 中的 rsyslogd 服务是否启动代码语言:bash复制ps aux | grep "rsyslog" | grep -v "grep"
rsyslogd 服务的自启动状态代码语言:bash复制systemctl list-unit-files | grep rsyslog
/etc/rsyslog.conf编辑文件时的格式为: *.* 存放日志文件其中第一个*代表日志类型,第二个*代表日志级别1) 日志类型分为:代码语言:java复制auth ## pam 产生的日志authpriv ##ssh、ftp 等登录信息的验证信息corn ##时间任务相关kern ##内核lpr ##打印mail ##邮件mark(syslog)-rsyslog ##服务内部的信息,时间标识news ##新闻组user ##用户程序产生的相关信息uucp ##unix to nuix copy 主机之间相关的通信local 1-7 ##自定义的日志设备
2) 日志级别分为:
代码语言:java复制debug ##有调试信息的,日志通信最多info ##一般信息日志,最常用notice ##最具有重要性的普通条件的信息warning ##警告级别err ##错误级别,阻止某个功能或者模块不能正常工作的信息crit ##严重级别,阻止整个系统或者整个软件不能正常工作的信息alert ##需要立刻修改的信息emerg ##内核崩溃等重要信息none ##什么都不记录注意:从上到下,级别从低到高,记录信息越来越少如:
local7 表示日志类型,后面的 * 表示任何一个级别的日志都需要记录
在这里插入图片描述日志服务 rsyslogd 记录的日志文件,日志文件的格式包含以下四列:代码语言:java复制1) 事件产生的时间2) 产生事件的服务器的主机名3) 产生事件的服务名或程序名4) 事件的具体信息日志如何查看实例
/var/log/secure 日志,这个日志中记录的是用户验证和授权方面的信息
在/etc/rsyslog.conf 中添加一个日志文件/var/log/xdr.log,当有事件发送时(比如 sshd 服务相关事件),该文件会接收到信息并保存,(重启、登录的情况),看是否有日志保存
在这里插入图片描述创建日志文件:代码语言:bash复制> /var/log/xdr.log重启:代码语言:bash复制
reboot查看 sshd 服务相关的信息代码语言:bash复制
cat xdr.log | grep sshd
