Linux系统日志管理常用的工具和指令

Linux系统日志管理常用的工具和指令

　　日志对于安全来说，非常重要，它记录了系统每天发生的各种各样的事情，你可以通过它来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。下面是相关的知识，欢迎阅读。

　　日志主要的功能有：审计和监测。它还可以实时的监测系统状态，监测和追踪侵入者等等。

　　那么日志存放的位置在哪里呢?

　　/var/log

　　常用日志文件

　　⊙btmp 记录登陆失败的信息

　　⊙lastlog 记录最近几次成功登录的事件和最后一次不成功的登录

　　⊙messages 从syslog中记录信息(有的'链接到syslog文件)

　　⊙utmp 记录当前登录的每个用户

　　⊙wtmp 系统登录的情况：登入登出

　　登录信息的查看

　　last 查看登录日志内容

　　lastlog 记录所有的用户什么时候登录过系统

　　lastlog 和 last的区别：

　　last 查看IP

　　lastlog 查看后门的账号

　　lastb 查看

　　# 如果说你发现你的btmp文件变得很大,说明有很大的可能是有人在暴力破解你的主机

　　日志管理

　　 系统和程序的“日记本”

　　– 记录系统、程序运行中发生的各种事件

　　– 通过查看日志,了解及排除故障

　　– 信息安全控制的“依据”

　　/var/log/messages 记录内核消息、各种服务的公共消息

　　/var/log/dmesg 记录系统启动过程的各种消息

　　/var/log/cron 记录与cron计划任务相关的消息

　　/var/log/maillog 记录邮件收发相关的消息

　　/var/log/secure 记录与访问限制相关的安全消息

　　/var/log/lastlog 最后登录信息

　　/var/log/btmp 用户登录系统的错误信息

　　 通用分析工具

　　– tail、tailf、less、grep等文本浏览/检索命令

　　– awk、sed等格式化过滤工具

　　用户登录分析

　　 users、who、w 命令

　　– 查看已登录的用户信息,详细度不同

　　 last、lastb 命令

　　– 查看最近登录成功/失败的用户信息

　　日志消息的优先级

　　 Linux内核定义的事件紧急程度

　　– 分为 0~7 共8种优先级别

　　– 其数值越小,表示对应事件越紧急/重要

　　4级别本身及以上，属于错误日志

　　使用journalctl工具

　　 提取由 systemd-journal 服务搜集的日志

　　– 主要包括内核/系统日志、服务日志

　　 常见用法

　　– journalctl | grep 关键词

　　– journalctl -u 服务名 [-p 优先级]

　　– journalctl -n 消息条数

　　– journalctl --since="yyyy-mm-dd HH:MM:SS" --

　　until="yyyy-mm-dd HH:MM:SS"

　　栗子：

　　# yum -y install httpd

　　# systemctl restart httpd

　　# journalctl -u httpd

　　# journalctl -u httpd -p 6

　　# journalctl

　　# journalctl -n 10

　　systemd

　　 一个更高效的系统&服务管理器

　　– 开机服务并行启动,各系统服务间的精确依赖

　　– 配置目录:/etc/systemd/system/

　　– 服务目录:/lib/systemd/system/

　　– service:后台的独立服务

　　– target:一套配置单元的组合,类似于传统“运行级别”(运行模式)

　　运行模式:图形、字符

　　graphical.target 图形

　　multi-user.target 字符

　　设置开机默认的运行级别(运行模式)

　　# systemctl get-default #查看默认的运行模式

　　# systemctl set-default graphical.target

　　# systemctl get-default

　　# reboot

　　临时切换运行级别(运行模式)

　　# systemctl isolate multi-user.target

　　# systemctl isolate graphical.target

　　启动/停止/重启/看状态

　　 控制服务状态

　　– systemctl start|stop|restart 服务名...

　　 查看服务的运行状态

　　– systemctl status 服务名...

　　配置开机自启

　　 查看服务是否自启

　　– systemctl is-enabled 服务名...

　　 设置服务是否开机自启

　　– systemctl enable|disable 服务名...

【Linux系统日志管理常用的工具和指令】相关文章：

Linux系统常用操作命令10-07

Linux系统下的ipmitool工具应该怎样使用08-20

Linux系统管理常用命令10-07

分享Linux操作系统提高PHP性能的工具APC11-19

Linux系统监控常用命令10-07

Linux内核源代码的阅读和工具具体介绍09-04

Linux系统中使用数据备份同步工具Rsync的实例讲解07-24

linux实用系统管理命令09-02

Linux 文件系统管理08-25

Linux系统管理命令大全08-18