Linux服務(wù)器一般都是被放置在機(jī)房中自動(dòng)運(yùn)行��,管理員要了解服務(wù)器或是應(yīng)用程序的運(yùn)行狀態(tài)���,大都需要通過日志����。日志文件用于記錄Linux系統(tǒng)中各種運(yùn)行消息����,不同的日志文件記載了不同類型的信息,例如Linux內(nèi)核消息���、用戶登錄記錄����、程序錯(cuò)誤等���。日志文件對(duì)于診斷和解決系統(tǒng)中的問題很有幫助�,因?yàn)樵贚inux系統(tǒng)中運(yùn)行的程序通常會(huì)把系統(tǒng)消息和錯(cuò)誤消息寫入相應(yīng)的日志文件���,這樣系統(tǒng)一旦出現(xiàn)問題就會(huì)有據(jù)可查�����。此外���,當(dāng)主機(jī)遭受攻擊時(shí)��,日志文件還可以幫助尋找攻擊者留下的痕跡�。
1. 主要日志文件
Linux系統(tǒng)本身和大部分服務(wù)程序的日志文件默認(rèn)情況下都放置在目錄“/var/log”中���。有些程序會(huì)共用一個(gè)日志文件,有些程序則會(huì)使用單個(gè)日志文件�����,還有一些比較大型的程序由于日志文件不止一個(gè)�,所以會(huì)在“/var/log”目錄中建立相應(yīng)的子目錄來存放日志文件。有相當(dāng)一部分日志文件只有root用戶才有權(quán)限讀取�����,這保證了相關(guān)日志信息的安全性�����。
例:查看“/var/log”目錄中的各種日志文件及子目錄。
在這些日志文件中�,比較重要或是經(jīng)常用到的有:
/var/log/messages:記錄Linux內(nèi)核消息及各種應(yīng)用程序的公共日志信息,包括啟動(dòng)�、I/O錯(cuò)誤、網(wǎng)絡(luò)錯(cuò)誤���、程序故障等�����。對(duì)于未使用獨(dú)立日志文件的應(yīng)用程序或服務(wù)�����,一般都可以從該日志文件中獲得相關(guān)的事件記錄信息��。
/var/log/cron:記錄crond計(jì)劃任務(wù)產(chǎn)生的事件信息���。
/var/log/dmesg:記錄Linux系統(tǒng)在引導(dǎo)過程中的各種事件信息。
/var/log/maillog:記錄進(jìn)入或發(fā)出系統(tǒng)的電子郵件活動(dòng)��。
/var/log/lastlog:最近幾次成功登錄事件和最后一次不成功登錄事件���。
/var/log/rpmpkgs:記錄系統(tǒng)中安裝的各rpm包列表信息�����。
/var/log/secure:記錄所有與安全相關(guān)以及用戶登錄認(rèn)證過程中的事件信息�����。
/var/log/wtmp:記錄每個(gè)用戶登錄�、注銷及系統(tǒng)啟動(dòng)和停機(jī)事件。
/var/run/utmp:記錄當(dāng)前登錄的每個(gè)用戶的詳細(xì)信息����。
2. 查看日志文件內(nèi)容
大多數(shù)的日志文件都可以使用tail、more���、less、cat等文本處理工具查看日志內(nèi)容���,其中在大多數(shù)情況下都是使用tail命令�,這樣可以方便地查看到最近的日志信息����。而且如果在tail命令中加上“-f”選項(xiàng),還可以實(shí)時(shí)查看到日志文件中的最新信息����。
通常情況下���,內(nèi)核及大多數(shù)系統(tǒng)消息都被記錄到公共日志文件“/var/log/messages”中,而其它一些程序消息被記錄到不同的文件中�����。日志消息還能夠記錄到特定的存儲(chǔ)設(shè)備中��,或者直接向用戶發(fā)送���。
例:實(shí)時(shí)監(jiān)測(cè)/var/log/messages中的日志信息����。
[root@localhost ~]# tail -f /var/log/messages
Oct 21 04:48:35 localhost avahi-daemon[3152]: Joining mDNS multicast group on interface eth0.IPv4 with address 192.168.80.130.
Oct 21 04:48:35 localhost avahi-daemon[3152]: Registering new address record for 192.168.80.130 on eth0.
Oct 21 04:48:35 localhost NET[4094]: /sbin/dhclient-script : updated /etc/resolv.conf
Oct 21 04:48:35 localhost dhclient: bound to 192.168.80.130 -- renewal in 760 seconds.
Oct 21 05:01:15 localhost dhclient: DHCPREQUEST on eth0 to 192.168.80.254 port 67
Oct 21 05:01:15 localhost dhclient: DHCPACK from 192.168.80.254
Oct 21 05:01:15 localhost dhclient: bound to 192.168.80.130 -- renewal in 723 seconds.
Oct 21 05:13:18 localhost dhclient: DHCPREQUEST on eth0 to 192.168.80.254 port 67
Oct 21 05:13:18 localhost dhclient: DHCPACK from 192.168.80.254
Oct 21 05:13:18 localhost dhclient: bound to 192.168.80.130 -- renewal in 749 seconds.
Oct 21 05:22:58 localhost kernel: Installing knfsd (copyright (C) 1996 okir@monad.swb.de).
Oct 21 05:22:58 localhost kernel: NFSD: Using /var/lib/nfs/v4recovery as the NFSv4 state recovery directory
Oct 21 05:22:58 localhost kernel: NFSD: starting 90-second grace period
大部分日志文件中所使用的日志記錄格式都是相同的��。下面以公共日志文件“/var/log/messages”為例來說明日志記錄的基本格式�。
日志文件中的每一行表示一條消息,每個(gè)消息均由四個(gè)字段的固定格式組成���。
時(shí)間標(biāo)簽:消息發(fā)出的日期和時(shí)間�。
主機(jī)名:生成消息的計(jì)算機(jī)的名稱�。
子系統(tǒng)名稱:發(fā)出消息的應(yīng)用程序的名稱�。
消息:消息的具體內(nèi)容�。
例如上面所顯示的最后一條消息:
Oct 21 05:22:58 localhost kernel: NFSD: starting 90-second grace period
這條消息的含義為:
10月21日05:22:58在localhost這臺(tái)主機(jī)上,由內(nèi)核kernel中的nfsd服務(wù)所產(chǎn)生的信息��,信息的內(nèi)容為“starting 90-second grace period”�����。管理日志服務(wù)
RHEL系統(tǒng)中的內(nèi)核及系統(tǒng)日志功能主要由rsyslogd服務(wù)提供����,該服務(wù)的配置文件為"/etc/rsyslog.conf"。
rsyslogd服務(wù)默認(rèn)已經(jīng)安裝并自動(dòng)運(yùn)行�,/etc/rsyslog.conf配置文件則可以對(duì)日志進(jìn)行設(shè)置,它可以指定那些信息需要記錄����,以及記錄在哪里����。
例:查看/etc/rsyslog.conf配置文件中的主要內(nèi)容。
/etc/rsyslog.conf文件中的每一行代表一條設(shè)置值�����,每一條設(shè)置值的語法如下:
消息類型 執(zhí)行動(dòng)作
其中的"消息類型"指定哪些消息需要記錄,"執(zhí)行動(dòng)作"則告訴系統(tǒng)日志服務(wù)該如何處理這些消息�。
"消息類型"必須以下列的格式指定消息的種類:
消息來源.優(yōu)先級(jí)
"消息來源"表示消息是從哪個(gè)子系統(tǒng)傳送過來的,來源主要有以下這些:
authpriv:與用戶安全��、驗(yàn)證有關(guān)的消息�����;
cron:與計(jì)劃任務(wù)有關(guān)的消息��;
daemon:與一般服務(wù)有關(guān)的消息��;
kern:來自系統(tǒng)內(nèi)核的消息���;
mail:來自郵件系統(tǒng)的消息����;
localN:保留
"優(yōu)先級(jí)"則用來指出消息的優(yōu)先等級(jí)����,即消息的重要程度。其優(yōu)先級(jí)別如下(數(shù)字等級(jí)越小�,優(yōu)先級(jí)越高,消息越重要):
0 EMERG(緊急):會(huì)導(dǎo)致主機(jī)系統(tǒng)不可用的情況。
1 ALERT(警告):必須馬上采取措施解決的問題����。
2 CRIT(嚴(yán)重):比較嚴(yán)重的情況。
3 ERR(錯(cuò)誤):運(yùn)行出現(xiàn)錯(cuò)誤����。
4 WARNING(提醒):可能影響系統(tǒng)功能,需要提醒用戶的重要事件�����。
5 NOTICE(注意):不會(huì)影響正常功能���,但是需要注意的事件�。
6 INFO(信息):一般信息��。
7 DEBUG(調(diào)試):程序或系統(tǒng)調(diào)試信息等�����。
除此之外�,"消息來源"與"優(yōu)先級(jí)"可以使用星號(hào)(*)代表所有�����,因此*.*就表示來自所有子系統(tǒng)的所有級(jí)別的消息。
而"執(zhí)行動(dòng)作"字段則用來定義如何處理接收到的消息����,可以指定如下幾項(xiàng)內(nèi)容:
/PATH/FILENAME:將消息存儲(chǔ)到指定的文件中,文件必須以斜線(/)開頭的絕對(duì)路徑命名�����;
USERNAME:將消息發(fā)送給指定的已經(jīng)登錄的用戶�����;
@HOSTNAME:將消息轉(zhuǎn)發(fā)到指定的日志服務(wù)器;
*:將消息發(fā)送給所有已經(jīng)登錄的用戶�����。
因而文件中的設(shè)置值:
authpriv.* /var/log/secure
它所代表的含義為:將與用戶安全�、驗(yàn)證有關(guān)的所有級(jí)別的消息都存儲(chǔ)到指定的文件/var/log/secure中。
在對(duì)“消息類型”進(jìn)行設(shè)置時(shí)���,有以下三種方法:
l “.”:代表“比后面還要高的優(yōu)先級(jí)(含該優(yōu)先級(jí))都被記錄下來”的意思���,例如:mail.info代表只要是mail的消息�,而且該消息優(yōu)先級(jí)高于info(含info本身)時(shí)�,就會(huì)被記錄下來。
l “.=”:代表所需要的優(yōu)先級(jí)就是后面的優(yōu)先級(jí)而已���,其他的不要��。
l “.!”:代表不等于����,也就是除了該優(yōu)先級(jí)外的其他優(yōu)先級(jí)都記錄����。
比如下面的設(shè)置項(xiàng):
mail.info /var/log/maillog_info
表示mail服務(wù)產(chǎn)生的大于等于info優(yōu)先級(jí)的信息����,都記錄到/var/log/maillog_info文件中。
另外��,如果需要對(duì)不同類型的消息�,采用同一種“執(zhí)行動(dòng)作”,syslog.conf允許使用分號(hào)連接多個(gè)消息�,例如設(shè)置值:
*.info;mail.none;authpriv.none;cron.none /var/log/messages
它表示的含義是:將所有的info級(jí)別以上的消息(不包括來自郵件系統(tǒng)的����、與用戶安全、驗(yàn)證有關(guān)的���、與計(jì)劃任務(wù)有關(guān)的消息)�����,都存儲(chǔ)到指定的文件/var/log/messages中��。
