Linux系统日志管理常用的工具和指令
前言
日志对于安全来说,非常重要,它记录了系统每天发生的各种各样的事情,你可以通过它来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。
日志主要的功能有:审计和监测。它还可以实时的监测系统状态,监测和追踪侵入者等等。
那么日志存放的位置在哪里呢?
/var/log
常用日志文件
⊙btmp 记录登陆失败的信息
⊙lastlog 记录最近几次成功登录的事件和最后一次不成功的登录
⊙messages 从syslog中记录信息(有的链接到syslog文件)
⊙utmp 记录当前登录的每个用户
⊙wtmp 系统登录的情况:登入登出
登录信息的查看
last 查看登录日志内容
lastlog 记录所有的用户什么时候登录过系统
lastlog 和 last的区别:
last 查看IP
lastlog 查看后门的账号
lastb 查看
# 如果说你发现你的btmp文件变得很大,说明有很大的可能是有人在暴力破解你的主机
日志管理
• 系统和程序的“日记本”
– 记录系统、程序运行中发生的各种事件
– 通过查看日志,了解及排除故障
– 信息安全控制的“依据”
/var/log/messages 记录内核消息、各种服务的公共消息
/var/log/dmesg 记录系统启动过程的各种消息
/var/log/cron 记录与cron计划任务相关的消息
/var/log/maillog 记录邮件收发相关的消息
/var/log/secure 记录与访问限制相关的安全消息
/var/log/lastlog 最后登录信息
/var/log/btmp 用户登录系统的错误信息
• 通用分析工具
– tail、tailf、less、grep等文本浏览/检索命令
– awk、sed等格式化过滤工具
用户登录分析
• users、who、w 命令
– 查看已登录的用户信息,详细度不同
• last、lastb 命令
– 查看最近登录成功/失败的用户信息
日志消息的优先级
• Linux内核定义的事件紧急程度
– 分为 0~7 共8种优先级别
– 其数值越小,表示对应事件越紧急/重要
4级别本身及以上,属于错误日志
使用journalctl工具
• 提取由 systemd-journal 服务搜集的日志
– 主要包括内核/系统日志、服务日志
• 常见用法
– journalctl | grep 关键词
– journalctl -u 服务名 [-p 优先级]
– journalctl -n 消息条数
– journalctl --since="yyyy-mm-dd HH:MM:SS" --
until="yyyy-mm-dd HH:MM:SS"
栗子:
# yum -y install httpd
# systemctl restart httpd
# journalctl -u httpd
# journalctl -u httpd -p 6
# journalctl
# journalctl -n 10
systemd
• 一个更高效的系统&服务管理器
– 开机服务并行启动,各系统服务间的精确依赖
– 配置目录:/etc/systemd/system/
– 服务目录:/lib/systemd/system/
– service:后台独立服务
– target:一套配置单元的组合,类似于传统“运行级别”(运行模式)
运行模式:图形、字符
graphical.target 图形
multi-user.target 字符
设置开机默认的运行级别(运行模式)
# systemctl get-default #查看默认的运行模式
# systemctl set-default graphical.target
# systemctl get-default
# reboot
临时切换运行级别(运行模式)
# systemctl isolate multi-user.target
# systemctl isolate graphical.target
启动/停止/重启/看状态
• 控制服务状态
– systemctl start|stop|restart 服务名...
• 查看服务的运行状态
– systemctl status 服务名...
配置开机自启
• 查看服务是否自启
– systemctl is-enabled 服务名...
• 设置服务是否开机自启
– systemctl enable|disable 服务名...
推荐阅读: