专栏首页吴柯的运维笔记Linux系统日志管理常用的工具和指令

Linux系统日志管理常用的工具和指令

前言

日志对于安全来说,非常重要,它记录了系统每天发生的各种各样的事情,你可以通过它来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。

日志主要的功能有:审计和监测。它还可以实时的监测系统状态,监测和追踪侵入者等等。

那么日志存放的位置在哪里呢?

/var/log

常用日志文件

⊙btmp 记录登陆失败的信息

⊙lastlog 记录最近几次成功登录的事件和最后一次不成功的登录

⊙messages 从syslog中记录信息(有的链接到syslog文件)

⊙utmp 记录当前登录的每个用户

⊙wtmp 系统登录的情况:登入登出

登录信息的查看

last 查看登录日志内容

lastlog 记录所有的用户什么时候登录过系统

lastlog 和 last的区别:

last 查看IP

lastlog 查看后门的账号

lastb 查看

# 如果说你发现你的btmp文件变得很大,说明有很大的可能是有人在暴力破解你的主机

日志管理

系统和程序的“日记本”

– 记录系统、程序运行中发生的各种事件

– 通过查看日志,了解及排除故障

– 信息安全控制的“依据”

/var/log/messages 记录内核消息、各种服务的公共消息

/var/log/dmesg 记录系统启动过程的各种消息

/var/log/cron 记录与cron计划任务相关的消息

/var/log/maillog 记录邮件收发相关的消息

/var/log/secure 记录与访问限制相关的安全消息

/var/log/lastlog 最后登录信息

/var/log/btmp 用户登录系统的错误信息

• 通用分析工具

– tail、tailf、less、grep等文本浏览/检索命令

– awk、sed等格式化过滤工具

用户登录分析

• users、who、w 命令

– 查看已登录的用户信息,详细度不同

• last、lastb 命令

– 查看最近登录成功/失败的用户信息

日志消息的优先级

• Linux内核定义的事件紧急程度

– 分为 0~7 共8种优先级别

– 其数值越小,表示对应事件越紧急/重要

4级别本身及以上,属于错误日志

使用journalctl工具

• 提取由 systemd-journal 服务搜集的日志

– 主要包括内核/系统日志、服务日志

• 常见用法

– journalctl | grep 关键词

– journalctl -u 服务名 [-p 优先级]

– journalctl -n 消息条数

– journalctl --since="yyyy-mm-dd HH:MM:SS" --

until="yyyy-mm-dd HH:MM:SS"

栗子:

# yum -y install httpd

# systemctl restart httpd

# journalctl -u httpd

# journalctl -u httpd -p 6

# journalctl

# journalctl -n 10

systemd

• 一个更高效的系统&服务管理器

– 开机服务并行启动,各系统服务间的精确依赖

– 配置目录:/etc/systemd/system/

– 服务目录:/lib/systemd/system/

– service:后台独立服务

– target:一套配置单元的组合,类似于传统“运行级别”(运行模式)

运行模式:图形、字符

graphical.target 图形

multi-user.target 字符

设置开机默认的运行级别(运行模式)

# systemctl get-default #查看默认的运行模式

# systemctl set-default graphical.target

# systemctl get-default

# reboot

临时切换运行级别(运行模式)

# systemctl isolate multi-user.target

# systemctl isolate graphical.target

启动/停止/重启/看状态

• 控制服务状态

– systemctl start|stop|restart 服务名...

• 查看服务的运行状态

– systemctl status 服务名...

配置开机自启

• 查看服务是否自启

– systemctl is-enabled 服务名...

• 设置服务是否开机自启

– systemctl enable|disable 服务名...

推荐阅读:

【基础必备】RAID阵列分类和进程管理常用指令

容易忘的Linux基础小工具(附vim编辑技巧)

<简述>Linux配置web服务器

Linux系统磁盘分区及创建逻辑分区与扩展入门教程

【技术帖】LDAP网络用户的实现

Linux文件权限的更改:理解第一,命令次之

【Linux环境下】绝对要掌握的创建/查看指令

【Linux】不得不了解的软件包管理与安装指令

本文分享自微信公众号 - 吴柯的运维笔记(wukeyy18s)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2017-08-07

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 如何实现MySQL读写分离?

    ? 一:部署mysql-proxy代理服务器 1)安装mariadb官方提供的maxscale软件包 # rpm -ivh maxscale-2.1.2-1....

    吴柯
  • RabbitMQ消息队列部署与配置基础

    “每个理性的IT人士都置顶了吴柯的运维笔记” RabbitMQ简介 AMQP,即Advanced Message Queuing Protocol,高级消息队列...

    吴柯
  • 容易忘的Linux基础小工具(附vim编辑技巧)

    linux目录层次: -man hier (有问题找男人) ? ? 权限的数值表示: -基本权限:r=4 w=2 x=1 -附加权限:SUID=4 ...

    吴柯
  • Java Review(三十三、异常处理----补充:断言、日志、调试)

    断言(Assertion)是一种调试程序的方式。在Java中,使用assert关键字来实现断言。

    三分恶
  • 微型分布式架构设计范例

    设计该系统初衷是基于描绘业务(或机器集群)存储模型,分析代理缓存服务器磁盘存储与回源率的关系。

    mariolu
  • 如何设计一个麻雀般的微型分布式架构?

    设计该系统初衷是基于描绘业务(或机器集群)存储模型,分析代理缓存服务器磁盘存储与回源率的关系。系统意义是在腾讯云成本优化过程中,量化指导机房设备扩容。前半部分是...

    Java高级架构
  • SpringBoot集成Graylog

    在微服务架构中,一个服务通常都会有多个实例,而这些服务实例可能会被部署到不同的机器或虚拟容器上。此时对于日志数据的查看和分析就会变得困难起来,因为这些服务的日志...

    端碗吹水
  • python web开发-flask中日志的使用

    IT故事会
  • MySQL的一般查询日志

    MySQL有很多种日志,这一篇文章里主要介绍一般查询日志。General Query Log,一般查询日志是用来记录MySQL服务器做了哪些事情,当客户端连接至...

    MySQLSE
  • 使用Vue做一个可自动拼图的拼图小游戏(二)

    在上一篇文章中我们已经写完了一个可以正常玩的拼图小游戏,但是这还没有结束,我们还要接着试一下让拼图游戏可以自己完成拼图。 最终效果如下图:

    从入门到进错门

扫码关注云+社区

领取腾讯云代金券