Linux系统日志管理常用的工具和指令

日志对于安全来说，非常重要，它记录了系统每天发生的各种各样的事情，你可以通过它来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。下面是相关的知识，欢迎阅读。

日志主要的功能有：审计和监测。它还可以实时的监测系统状态，监测和追踪侵入者等等。

　　那么日志存放的位置在哪里呢?

/var/log

　　常用日志文件

⊙btmp 记录登陆失败的信息

⊙lastlog 记录最近几次成功登录的事件和最后一次不成功的登录

⊙messages 从syslog中记录信息(有的`链接到syslog文件)

⊙utmp 记录当前登录的每个用户

⊙wtmp 系统登录的情况：登入登出

　　登录信息的查看

last 查看登录日志内容

lastlog 记录所有的用户什么时候登录过系统

lastlog 和 last的区别：

last 查看IP

lastlog 查看后门的账号

lastb 查看

# 如果说你发现你的btmp文件变得很大,说明有很大的可能是有人在暴力破解你的主机

　　日志管理

系统和程序的“日记本”

– 记录系统、程序运行中发生的各种事件

– 通过查看日志,了解及排除故障

– 信息安全控制的“依据”

/var/log/messages 记录内核消息、各种服务的公共消息

/var/log/dmesg 记录系统启动过程的各种消息

/var/log/cron 记录与cron计划任务相关的消息

/var/log/maillog 记录邮件收发相关的消息

/var/log/secure 记录与访问限制相关的安全消息

/var/log/lastlog 最后登录信息

/var/log/btmp 用户登录系统的错误信息

　　 通用分析工具

– tail、tailf、less、grep等文本浏览/检索命令

– awk、sed等格式化过滤工具

　　用户登录分析

users、who、w 命令

– 查看已登录的用户信息,详细度不同

last、lastb 命令

– 查看最近登录成功/失败的用户信息

　　日志消息的优先级

Linux内核定义的事件紧急程度

– 分为 0~7 共8种优先级别

– 其数值越小,表示对应事件越紧急/重要

4级别本身及以上，属于错误日志

　　使用journalctl工具

提取由 systemd-journal 服务搜集的日志

– 主要包括内核/系统日志、服务日志

　　 常见用法

– journalctl | grep 关键词

– journalctl -u 服务名 [-p 优先级]

– journalctl -n 消息条数

– journalctl --since="yyyy-mm-dd HH:MM:SS" --

until="yyyy-mm-dd HH:MM:SS"

栗子：

# yum -y install httpd

# systemctl restart httpd

# journalctl -u httpd

# journalctl -u httpd -p 6

# journalctl

# journalctl -n 10

systemd

一个更高效的系统&服务管理器

– 开机服务并行启动,各系统服务间的精确依赖

– 配置目录:/etc/systemd/system/

– 服务目录:/lib/systemd/system/

– service:后台的独立服务

– target:一套配置单元的组合,类似于传统“运行级别”(运行模式)

　　运行模式:图形、字符

et 图形

et 字符

设置开机默认的运行级别(运行模式)

# systemctl get-default #查看默认的运行模式

# systemctl set-default et

# systemctl get-default

# reboot

临时切换运行级别(运行模式)

# systemctl isolate et

# systemctl isolate et

　　启动/停止/重启/看状态

控制服务状态

– systemctl start|stop|restart 服务名...

查看服务的运行状态

– systemctl status 服务名...

　　配置开机自启

查看服务是否自启

– systemctl is-enabled 服务名...

设置服务是否开机自启

– systemctl enable|disable 服务名...