Linux系统日志管理常用的工具和指令

前言

日志对于安全来说,非常重要,它记录了系统每天发生的各种各样的事情,你可以通过它来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。

日志主要的功能有:审计和监测。它还可以实时的监测系统状态,监测和追踪侵入者等等。

那么日志存放的位置在哪里呢?

/var/log

常用日志文件

⊙btmp 记录登陆失败的信息

⊙lastlog 记录最近几次成功登录的事件和最后一次不成功的登录

⊙messages 从syslog中记录信息(有的链接到syslog文件)

⊙utmp 记录当前登录的每个用户

⊙wtmp 系统登录的情况:登入登出

登录信息的查看

last 查看登录日志内容

lastlog 记录所有的用户什么时候登录过系统

lastlog 和 last的区别:

last 查看IP

lastlog 查看后门的账号

lastb 查看

# 如果说你发现你的btmp文件变得很大,说明有很大的可能是有人在暴力破解你的主机

日志管理

系统和程序的“日记本”

– 记录系统、程序运行中发生的各种事件

– 通过查看日志,了解及排除故障

– 信息安全控制的“依据”

/var/log/messages 记录内核消息、各种服务的公共消息

/var/log/dmesg 记录系统启动过程的各种消息

/var/log/cron 记录与cron计划任务相关的消息

/var/log/maillog 记录邮件收发相关的消息

/var/log/secure 记录与访问限制相关的安全消息

/var/log/lastlog 最后登录信息

/var/log/btmp 用户登录系统的错误信息

• 通用分析工具

– tail、tailf、less、grep等文本浏览/检索命令

– awk、sed等格式化过滤工具

用户登录分析

• users、who、w 命令

– 查看已登录的用户信息,详细度不同

• last、lastb 命令

– 查看最近登录成功/失败的用户信息

日志消息的优先级

• Linux内核定义的事件紧急程度

– 分为 0~7 共8种优先级别

– 其数值越小,表示对应事件越紧急/重要

4级别本身及以上,属于错误日志

使用journalctl工具

• 提取由 systemd-journal 服务搜集的日志

– 主要包括内核/系统日志、服务日志

• 常见用法

– journalctl | grep 关键词

– journalctl -u 服务名 [-p 优先级]

– journalctl -n 消息条数

– journalctl --since="yyyy-mm-dd HH:MM:SS" --

until="yyyy-mm-dd HH:MM:SS"

栗子:

# yum -y install httpd

# systemctl restart httpd

# journalctl -u httpd

# journalctl -u httpd -p 6

# journalctl

# journalctl -n 10

systemd

• 一个更高效的系统&服务管理器

– 开机服务并行启动,各系统服务间的精确依赖

– 配置目录:/etc/systemd/system/

– 服务目录:/lib/systemd/system/

– service:后台独立服务

– target:一套配置单元的组合,类似于传统“运行级别”(运行模式)

运行模式:图形、字符

graphical.target 图形

multi-user.target 字符

设置开机默认的运行级别(运行模式)

# systemctl get-default #查看默认的运行模式

# systemctl set-default graphical.target

# systemctl get-default

# reboot

临时切换运行级别(运行模式)

# systemctl isolate multi-user.target

# systemctl isolate graphical.target

启动/停止/重启/看状态

• 控制服务状态

– systemctl start|stop|restart 服务名...

• 查看服务的运行状态

– systemctl status 服务名...

配置开机自启

• 查看服务是否自启

– systemctl is-enabled 服务名...

• 设置服务是否开机自启

– systemctl enable|disable 服务名...

推荐阅读:

【基础必备】RAID阵列分类和进程管理常用指令

容易忘的Linux基础小工具(附vim编辑技巧)

<简述>Linux配置web服务器

Linux系统磁盘分区及创建逻辑分区与扩展入门教程

【技术帖】LDAP网络用户的实现

Linux文件权限的更改:理解第一,命令次之

【Linux环境下】绝对要掌握的创建/查看指令

【Linux】不得不了解的软件包管理与安装指令

原文发布于微信公众号 - 吴柯的运维笔记(wukeyy18s)

原文发表时间:2017-08-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏代码小睿

静态页面如何实现 include 引入公用代码

  一直以来,我司的前端都是用 php 的 include 函数来实现引入 header 、footer 这些公用代码的,就像下面这样:

37800
来自专栏小白鼠

Ionic3 Android调试

本文主要介绍将Ionic项目打包成安卓应用之后的调试过程,调试方式分两种:模拟器调试、真机调试。不过在此之前,必须要将ionic项目成功打包成Android应用...

24840
来自专栏coding for love

在线商城项目07-mac下mongodb的下载与配置

这一章本来不想讲的,因为关于配环境这种事,其实网上真的很多资料,但是考虑到确实好多人都不喜欢配环境这种事,因为觉着很麻烦而止步不前,很是可惜。这一节我们来看看如...

10020
来自专栏xdecode

通过邮箱发送html报表

前言 需求是发送邮件时, 可以将报表正文贴到邮件里, 可以正常复制选中报表内容. 目前的做法是简单粗暴的转成了一张图片, 这样效果显然是很糟糕的. 今天看到邮箱...

39490
来自专栏mukekeheart的iOS之旅

《从零开始做一个MEAN全栈项目》(4)

欢迎关注本人的微信公众号“前端小填填”,专注前端技术的基础和项目开发的学习。  在上一篇中,我们讲了如何去构建第一个Express项目,总结起来就是使用两个核心...

30260
来自专栏编程微刊

微信小程序云开发 初学者入门教程一

本教程适合刚刚入门的小白,云开发为开发者提供完整的云端支持,弱化后端和运维概念,无需搭建服务器,使用平台提供的 API 进行核心业务开发,即可实现快速上线和迭代...

1.5K30
来自专栏Java面试笔试题

在VMware上安装CentOS版本的Linux虚拟机

2.点击“编辑虚拟机设置”,选择“CD/DVD”,点击"使用ISO映像文件"在本地找到合适的镜像文件;

18820
来自专栏小二的折腾日记

使用gitpage+Hexo搭建自己的博客

摘自:https://xuanwo.org/2015/03/26/hexo-intor/ 写的很详细了,就不仔细写一遍了,就当个记录吧,以后出问题了好解决一点。

13520
来自专栏Java成神之路

Java_脚本引擎_02_在Idea中进行Nashorn的Debug

这一节我们来看下怎么在idea中进行Nashorn的Debug ,又或者说怎么在Idea中进行js的Debug

17440
来自专栏Google Dart

开始使用-初尝胜果 顶

本页介绍如何“测试驱动器”Flutter:从我们的模板创建一个新的Flutter应用程序,运行它,并学习如何使用Hot Reload进行更改。

9030

扫码关注云+社区

领取腾讯云代金券