‘壹’ linux 下syslog,syslogd()的编程
你是想让一台机器的日志写到另一台机器上吧?就是remote syslog。
看看这个:
http://news.softpedia.com/news/Setting-Up-a-Central-Syslog-Server-44063.shtml
syslog是个daemon,写脚本不如配现成的服务了。
‘贰’ 如何查看linux的系统log日志
日志文件详细地记录了系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生的原因,或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是:审核和监测。 Linux系统的日志主要分为两种类型: 1.进程所属日志 由用户进程或其他系统服务进程自行生成的日志,比如服务器上的access_log与error_log日志文件。 2.syslog消息 系统syslog记录的日志,任何希望记录日志的系统进程或者用户进程都可以给调用syslog来记录日志。 日志系统可以划分为三个子系统: 1. 连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。 2. 进程统计--由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。 3. 错误日志--由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。 2.察看日志文件 Linux系统所有的日志文件都在/var/log下,且必须有root权限才能察看。 日志文件其实是纯文本的文件,每一行就是一个消息。察看方式有很多。 1. cat命令。日志文件总是很大的,因为从第一次启动Linux开始,消息都累积在日志文件中。如果这个文件不只一页,那么就会因为显示滚动得太快看不清文件的内容。 2. 文本编辑器。最好也不要用文本编辑器打开日志文件,这是因为一方面很耗费内存,另一方面不允许随意改动日志文件。 3.用more或less那样的分页显示程序。 4.用grep查找特定的消息。 每一行表示一个消息,而且都由四个域的固定格式组成: n 时间标签(timestamp),表示消息发出的日期和时间 n 主机名(hostname)(在我们的例子中主机名为escher),表示生成消息的计算机的名字。如果只有一台计算机,主机名就可能没有必要了。但是,如果在网络环境中使用syslog,那么就可能要把不同主机的消息发送到一台服务器上集中处理。 n 生成消息的子系统的名字。可以是"kernel",表示消息来自内核,或者是进程的名字,表示发出消息的程序的名字。在方括号里的是进程的PID。 n 消息(message),剩下的部分就是消息的内容。 举例: 在[root@localhost root]# 提示符下输入:tail /var/log/messages Jan 05 21:55:51 localhost last message repeated 3 times Jan 05 21:55:51 localhost kernel: [drm] AGP 0.99 on Intel i810 @ 0xf0000000 128M B Jan 05 21:55:51 localhost kernel: [drm] Initialized i830 1.3.2 20021108 on minor 0 Jan 05 21:55:51 localhost kernel: mtrr: base(0xf0000000) is not aligned on a siz e(0x12c000) boundary Jan 05 21:56:35 localhost 1月 28 21:56:35 gdm(pam_unix)[4079]: session opened f or user root by (uid=0) Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 正在启动(版本 2. 2.0),pid 4162 用户"root" Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re adonly:/etc/gconf/gconf.xml.mandatory"指向位于 0 的只读配置源 Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re adwrite:/root/.gconf"指向位于 1 的可写入配置源 Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re adonly:/etc/gconf/gconf.xml.defaults"指向位于 2 的只读配置源 Jan 05 21:58:20 localhost kernel: MSDOS FS: IO charset cp936 值得注意的是,与连接时间日志不同,进程统计子系统默认不激活,它必须启动。在Linux 系统中启动进程统计使用accton命令,必须用root身份来运行。accton命令的形式为:accton file,file必须事先存在。先使用touch命令创建pacct文件:touch /var/log/pacct,然后运行accton:accton /var/log/pacct。一旦accton被激活,就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计,可以使用不带任何 参数的accton命令。 3.日志系统工作原理及配置 3.1 syslog 它同closelog, openlog共同给system logger发送消息。 Linux内核由很多子系统组成,包括网络、文件访问、内存管理等。子系统需要给用户传送一些消息,这些消息内容包括消息的来源及其重要性等。所有的子系统都要把消息送到一个可以维护的公用消息区。于是,就有了一个叫Syslog的程序。 这个程序负责接收消息(比如:系统核心和许多系统程序产生的错误信息、警告信息和其他信息,每个信息都包括重要级),并把消息分发到合适的地方。通常情况 下,所有的消息都被记录到特定的文件——日志文件中(通常是/var/adm或/var/log目录下的messages文件),特别重要的消息也会在用 户终端窗口上显示出来。 syslog工具有两个重要文件:syslogd和syslog.Conf 它能接受访问系统的日志信息并且根据 "/etc/syslog.conf" 配置文件中的指令处理这些信息。守护进程和内核提供了访问系统的日志信息。因此,任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。 3.2 syslogd守护进程 就象其它复杂的操作系统那样,Linux也是由很多不同的子系统组成的。有些叫做daemon的程序一直在后台运行(daemon:守护神之意。也就是 说,他们"默默无闻",不需要和用户交互),处理一些象打印、发送邮件、建立Internet连接,等等日常工作。每一个子系统发出日志消息的时候都会给 消息指定一个类型。一个消息分成两个部分:"设备(facility)"和"级别(level)"。"设备"标识发出消息的子系统,可以把同一类型的消息组合在一起,"级别"表示消息的重要性,其范围从debug(最不重要)到emerg(最重要),facility和level组合起来称为priority。(详细解释参照5.3) /usr/include/sys/syslog.h中对此有相关的定义。 用户看不到daemon程序,因为它们没有窗口和用户界面。但是,这些程序有时候也要给用户传递一些信息。为了实现这个目的,就需要一个特殊的机制。syslogd就是daemon的一个很好的例子,它在后台运行并且把消息从日志区转移到日志文件中去。 函数接口 #include void openlog( char * , int , int ) 其中,可以是以下值的OR组合: LOG_CONS : 如果消息无法送到syslogd,直接输出到系统console。 LOG_NDELAY : 立即打开到syslogd的连接,默认连接是在第一次写入讯息时才打开的。 LOG_PERROR : 将消息也同时送到stderr 上 LOG_PID : 将PID记录到每个消息中 void syslog( int , char * ) 其中,是facility和level的OR组合 void closelog( void ) 一般只需要用syslog()函数,其他函数可以不用。 3.3 syslog.conf 这是一个非常重要的文件。位于"/etc/"目录下。通知 syslogd 如何根据设备和信息重要级别来报告信息。 该文件使用下面的形式: facility.level action syslog.conf 的第一列facility.level用来指定日志功能和日志级别,中间用.隔开,可以使用*来匹配 所有的日志功能和日志级别。第二列action是消息的分发目标。 空白行和以#开头的行是注释,可以忽略。 Facility.level 字段也被称做选择域(seletor)。 n facility 指定 syslog 功能,主要包括以下这些: auth 由 pam_pwdb 报告的认证活动。 authpriv 包括特权信息如用户名在内的认证活动 cron 与 cron 和 at 有关的信息。 daemon 与 inetd 守护进程有关的信息。 kern 内核信息,首先通过 klogd 传递。 lpr 与打印服务有关的信息。 mail 与电子邮件有关的信息 mark syslog 内部功能用于生成时间戳 news 来自新闻服务器的信息 syslog 由 syslog 生成的信息 user 由用户程序生成的信息 uucp 由 uucp 生成的信息 local0----local7 与自定义程序使用,例如使用 local5 做为 ssh 功能 * 通配符代表除了 mark 以外的所有功能 level 级别,决定讯息的重要性。 与每个功能对应的优先级是按一定顺序排列的,emerg 是最高级,其次是 alert,依次类推。缺省时,在 /etc/syslog.conf 记录中指定的级别为该级别和更高级别。如果希望使用确定的级别可以使用两个运算符号!(不等)和=。 例如:user.=info 表示告知 syslog 接受所有在 info 级别上的 user 功能信息。 n 以下的等级重要性逐次递减: emerg 该系统不可用 alert 需要立即被修改的条件 crit 阻止某些工具或子系统功能实现的错误条件 err 阻止工具或某些子系统部分功能实现的错误条件 warning 预警信息 notice 具有重要性的普通条件 info 提供信息的消息 debug 不包含函数条件或问题的其他信息 none 没有重要级,通常用于排错 * 所有级别,除了none n action 字段为动作域,所表示的活动具有许多灵活性,特别是,可以使用名称管道的作用是可以使 syslogd 生成后处理信息。 syslog 主要支持以下活动: file 将消息追加到指定的文件尾 terminal 或 print 完全的串行或并行设备标志符 @host 远程的日志服务器 username 将消息写到指定的用户 named pipe 指定使用 mkfifo 命令来创建的 FIFO 文件的绝对路径。 * 将消息写到所有的用户 选择域指明消息的类型和优先级;动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时,syslogd将纪录一个拥有相同或更高优先级的消息。比如如果指明"crit",则所有标为crit、alert和emerg的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到什么地方。 以下是一个实际站点的配置(syslog.conf)文件: # Store critical stuff in critical # *.=crit;kern.none /var/adm/critical 这个将把所有信息以优先权的crit保存在/var/adm/critical文件中,除了一些内核信息 # Kernel messages are first, stored in the kernel # file, critical messages and higher ones also go # to another host and to the console # kern.* /var/adm/kernel kern.crit @finlandia kern.crit /dev/console kern.info;kern.!err /var/adm/kernel-info 第一条代码指引一些内核设备访问文件/var/adm/kernel的信息。 第二条代码直接引导所有拥有crit和更高优先权的内核信息访问远程主机。如果它们也存储在远程主机上,仍旧可以试着找到毁坏的原因。 第四行说明syslogd 保存了所有拥有info 到warning优先级的内核信息在/var/adm/kernel-info文件夹下。所有err和更高优先级的被排除在外。 # The tcp wrapper loggs with mail.info, we display # all the connections on tty12 # mail.=info /dev/tty12 这个引导所有使用mail.info (in source LOG_MAIL LOG_INFO)的信息到/dev/tty12下,第12 个控制台。例如tcpwrapper tcpd (8)载缺省时使用这个 # Store all mail concerning stuff in a file mail.*;mail.!=info /var/adm/mail 模式匹配了所有具有mail功能的信息,除了拥有info优先级的。他们将被保存在文件/var/adm/mail中 # Log all mail.info and news.info messages to info # mail,news.=info /var/adm/info 提取所有具有mail.info 或news.info 功能优先级的信息存储在文件/var/adm/info中 # Log info and notice messages to messages file # *.=info;*.=notice;\ mail.none /var/log/messages 使所有syslogd日志中具有info 或notice功能的信息存储在文件/var/log/messages中,除了所有mail功能的信息 # Log info messages to messages file # *.=info;\ mail,news.none /var/log/messages 这个声明使syslogd日志中所有具有info优先权的信息存储在/var/log/messages文件中。但是一些有mail 或news功能的信息不能被存储。 # Emergency messages will be displayed using wall # *.=emerg * 这行代码告诉syslogd写所有紧急信息到所有当前登陆用户日志中。这个将被实现 # Messages of the priority alert will be directed # to the operator # *.alert root,joey *.* @finlandia 这个代码指引所有具有alert 或更高级权限的信息到终端操作。 第二行代码引导所有信息到叫做finlandia的远程主机。这个代码非常有用,特别是在所有syslog信息将被保存到一台机器上的群集计算机。 3.4 klogd 守护进程 klog是一个从UNIX内核接受消息的设备 klogd 守护进程获得并记录 Linux 内核信息。通常,syslogd 会记录 klogd 传来的所有信息。也就是说,klogd会读取内核信息,并转发到syslogd进程。然而,如果调用带有 -f filename 变量的 klogd 时,klogd 就在 filename 中记录所有信息,而不是传给 syslogd。当指定另外一个文件进行日志记录时,klogd 就向该文件中写入所有级别或优先权。Klogd 中没有和 /etc/syslog.conf 类似的配置文件。使用 klogd 而避免使用 syslogd 的好处在于可以查找大量错误。 总结 其中,箭头代表发送消息给目标进程或者将信息写入目标文件。 图1 Linux日志系统 日志管理及日志保护 logrotate程序用来帮助用户管理日志文件,它以自己的守护进程工作。logrotate周期性地旋转日志文件,可以周期性地把每个日志文件重命名 成一个备份名字,然后让它的守护进程开始使用一个日志文件的新的拷贝。在/var/log/下产生如maillog、maillog.1、 maillog.2、boot.log.1、boot.log.2之类的文件。它由一个配置文件驱动,该文件是 /etc/logroatate.conf。 以下是logroatate.conf文件例子: # see "man logrotate" for details # rotate log files weekly weekly #以7天为一个周期 # keep 4 weeks worth of backlogs rotate 4 #每隔4周备份日志文件 # send errors to root errors root #发生错误向root报告 # create new (empty) log files after rotating old ones create #转完旧的日志文件就创建新的日志文件 # uncomment this if you want your log files compressed #compress #指定是否压缩日志文件 # RPM packages drop log rotation information into this directory include /etc/logrotate.d # no packages own lastlog or wtmp -- we'll rotate them here /var/log/wtmp { monthly create 0664 root utmp rotate 1 } # system-specific logs may be configured here 在网络应用中,有一种保护日志的方式,在网络中设定一台秘密的syslog主机,把这台主机的网卡设为混杂模式,用来监听子网内所有的syslog包,这 样把所有需要传送日志的主机配置为向一台不存在的主机发送日志即可。这样即使黑客攻陷了目标主机,也无法通过syslog.conf文件找到备份日志的主 机,那只是一个不存在的主机。实际操作中还可以辅以交换机的配置,以确保syslog包可以被备份日志主机上的syslog进程接受到。比如把 syslog.conf中的传送日志主机设为 @192.168.0.13,但实际网络中不存在这个日志主机,实际可能是192.168.0.250或者其他主机正在接受syslog包。
‘叁’ 如何将Linux主机设置成syslog服务器
鸟哥在书中介绍了这样的一种环境。 办公室内有10台Linux主机,每一台负责一个网络服务。为了无需登录每台主机去查看登录文件,需要设置一台syslog服务器,其他主机的登录文件都发给它。这样做的话,只需要登录到syslog服务器上就能查看所有主机的登录文件。 RedHat上的设置方法,鸟哥已经介绍了。 【服务器端】step 1:查看服务器是否开启了UDP 514端口 grep '514' /etc/services step 2:修改syslogd的启动设置文件/etc/sysconfig/syslog 将SYSLOGD_OPTIONS="-m 0"修改成SYSLOGD_OPTIONS="-m 0 -r" step 3:重启syslogd服务 /etc/init.d/syslog restart 重启后,你会发现UDP 514端口已经打开。 Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name udp 0 0 0.0.0.0:514 0.0.0.0:* 5628/syslogd 【客户端】step 1:在/etc/syslog.conf中,添加下行。 user.* @192.168.0.Y # syslog服务器的IP地址 在Ubuntu中配置syslogd服务器的方法类似。 step 1:查看服务器是否开启了UDP 514端口,有下面一行说明端口514被打开,没有需要加入 # grep '514' /etc/services 184:shell 514/tcp cmd # no passwords used 185:syslog 514/udp step 2: 修改/etc/init.d/sysklogd,将SYSLOGD=""修改成SYSLOGD=" -r" step 3: 修改/etc/default/syslogd,将SYSLOGD=""修改成SYSLOGD=" -r" step 4: 重启服务 /etc/init.d/sysklogd restart step 5: 验证 在/var/log/messages中找到 May 1 23:31:59 flagonxia-desktop syslogd 1.5.0#5ubuntu3: restart (remote reception) # netstat -tlunp 得到syslogd服务正在监听端口514 udp 0 0 0.0.0.0:514 0.0.0.0:* 3912/syslogd step 6: 假设syslog服务器的IP地址:192.168.1.25,在其他主机上的/etc/syslog.conf中加入 *.* @192.168.1.25 注:/etc/syslog.conf文件的解析日志文件按/etc/syslog.conf 配置文件中的描述进行组织。下图是/etc/syslog.conf 文件的内容:[root@localhost ~]# cat /etc/syslog.conf # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* -/var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg *# Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log local7.* /var/log/boot.log syslog.conf 行的基本语法是: [ 消息类型][ 处理方案] 注意:中间的分隔符必须是Tab 字符!消息类型是由" 消息来源" 和" 紧急程度" 构成,中间用点号连接。例如上图中,news.crit 表示来自news 的“ 关键” 状况。在这里,news是消息来源,crit 代表关键状况。通配符* 可以代表一切消息来源。 说明:第一条语句*.info ,将info 级以上(notice,warning,err,crit,alert 与emerg )的所有消息发送到相应日志文件。日志文件类别(按重要程度分类)日志文件可以分成八大类,下面按重要性从大到下列出:emerg emergency ,紧急alert 警报crit critical ,关键errerror ,错误warning 警告notice 通知info 信息debug 调试简单列一下消息来源auth 认证系统,如login 或su ,即询问用户名和口令cron 系统执行定时任务时发出的信息daemon 某些系统的守护程序的 syslog ,如由in.ftpd 产生的log kern 内核的信息lpr 打印机的信息mail 处理邮件的守护进程发出的信息mark 定时发送消息的时标程序news 新闻组的守护进程的信息user 本地用户的应用程序的信息uucp uucp 子系统的信息* 表示所有可能的信息来源处理方案" 处理方案" 选项可以对日志进行处理。可以把它存入硬盘,转发到另一台机器或显示在管理员的终端上。处理方案一览:文件名 写入某个文件,要注意绝对路径。 @ 主机名 转发给另外一台主机的syslogd 程序。@IP 地址 同上,只是用IP 地址标识而已。/dev/console 发送到本地机器屏幕上。* 发送到所有用户的终端上。 | 程序 通过管道转发给某个程序。例如:kern.emerg /dev/console( 一旦发生内核的紧急状况,立刻把信息显示在控制台上) 说明: 如果想修改syslogd 的记录文件,首先你必须杀掉syslogd 进程,在修改完毕后再启动syslogd 。攻击者进入系统后通常立刻修改系统日志,因此作为网管你应该用一台机器专门处理日志信息,其他机器的日志自动转发到它上面,这样日志信息一旦产生就立刻被转移,这样就可以正确记录攻击者的行为。
‘肆’ 配置Linux日志文件
不要低估日志文件对网络安全的重要作用,因为日志文件能够详细记录系统每天发生的各种各样的事件,用户可以通过日志文件检查错误产生的原因,或者在受到攻击、被入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是审核和监测。配置好的Linux的日志非常强大。对于Linux系统而言,所有的日志文件在/var/log下。默认情况下,Linux的日志文件没有记录FTP的活动。用户可以通过修改/etc/ftpacess让系统记录FTP的一切活动。
/etc/syslog.conf的格式
Linux系统的日志文件是可以配置的,在前面的章节中已经介绍了如何定制Apache、wu-ftpd、Sendmail的日志文件。Linux系统的日志文件是由/etc/syslog.conf决定的,用户有必要花时间仔细配置一下/etc/syslog.conf.下面是/etc/syslog.conf的范例:
# Log all kernel messages to the kernlog.
# Logging much else clutters up the screen.
kern.*/var/log/kernlog
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none
/var/log/messages
*.warning/var/log/syslog
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.*/var/log/maillog
# Log cron stuff
cron.*/var/log/cron
# Everybody gets emergency messages, plus log them on another
# machine.
*.emerg
# Save mail and news errors of level err and higher in a
# special file.
uucp,news.crit/var/log/spooler
# Save boot messages also to boot.log
local7.*/var/log/boot.log
# INN
news.=crit /var/log/news/news.crit
news.=err /var/log/news/news.err
news.notice /var/log/news/news.notice
.
可以看出,该配置文件的每一行的第一个字段列出要被记录的信息种类,第二个字段则列出被记录的位置。第一个字段使用下面的格式:facility.level[;facility.level…]
此处的faciity是产生信息的系统应用程序或工具,level则是这个信息的重要程度。level的重要程度由低到高依次是:debug(调试消息)、info(一般消息)、notice(值得注意的消息)、warning(警告)、err(一般性错误)、crit(严重错误)、alert(或emerg,紧急情况)。
facility包含有:auth(认证系统,如login或su,即询问用户名和口令)、cron(系统执行定时任务时发出的信息)、daemon(某些系统的守护程序的syslog,如由in.ftpd产生的log)、kern(内核的信息)、lpr(打印机的信息)、mail(处理邮件的守护进程发出的信息)、mark(定时发送消息的时标程序)、news(新闻组的守护进程的信息)、user(本地用户的应用程序的信息)、uucp(uucp子系统的信息)和“*”(表示所有可能的facility)。
将日志文件记录到远程主机
如果有另一个Linux或UNIX系统,那么可以配置日志文件,让其把消息发到另外一个系统并记录下来。这也是为什么上面的所有日志文件都记录了主机名的原因。要实现这个功能,在该配置文件中,指定一个记录动作,后面接一个由“@”开头的远程系统的主机名,如下例:*.warn;authpriv.notice;auth.notice @bright.hacker.com.cn
同时,还要将接受消息的目的系统设置为允许这种操作。此例主机bright.hacker.com.cn的syslogd守护进程要用-r参数启动。如果不使用-r参数,则目标主机的syslogd将丢弃这个消息以避免DoS攻击使硬盘塞满虚假消息。并且确保目标主机的/etc/service文件必须设置syslog服务所使用的UDP端口514(这也是RedHat Linux默认的设置)。如果syslogd守护进程用了-r和-h参数,那么,参数-h将允许转发消息。也就是说,如果系统B的syslogd用了-h参数,这样,当系统A把消息转发到系统B后,系统B就把来自系统A和它自己的消息转发到系统C.
将警告信息发送到控制台
syslogd可以将任何从内核发出的重要程度为emerg或alert的信息发送到控制台。控制台是指虚拟控制台或启动时加-C参数的xterm.要实现这一功能,在/etc/syslog.conf文件中加上下面一行:kern.emerg /dev/console
这样,当系统内核发生错误而发出消息时,用户能够马上知道并且进行处理。如果用了“*”,就是一旦内核发生错误,就将消息发送给所有在线用户,但只有这个用户正在登录的时候才能看到。修改了/etc/syslog.conf文件后,必须重新启动syslogd守护进程以使配置更改生效,请执行下面的命令:#/etc/rc.d/init.d/syslog restart
‘伍’ linux下怎么用syslog记录日志文件
1 syslogd的配置文件
syslogd的配置文件/etc/syslog.conf规定了系统中需要监视的事件和相应的日志的保存位置
cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages #除了mail/news/authpriv/cron以外,将info或更高级别的消息送到/var/log/messages,其中*是通配符,代表任何设备;none表示不对任何级别的信息进行记录
# The authpriv file has restricted access.
authpriv.* /var/log/secure #将authpirv设备的任何级别的信息记录到/var/log/secure文件中,这主要是一些和认证,权限使用相关的信息.
# Log all the mail messages in one place.
mail.* -/var/log/maillog #将mail设备中的任何级别的信息记录到/var/log/maillog文件中, 这主要是和电子邮件相关的信息.
# Log cron stuff
cron.* /var/log/cron #将cron设备中的任何级别的信息记录到/var/log/cron文件中, 这主要是和系统中定期执行的任务相关的信息.
# Everybody gets emergency messages
*.emerg * #将任何设备的emerg级别或更高级别的消息发送给所有正在系统上的用户.
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler #将uucp和news设备的crit级别或更高级别的消息记录到/var/log/spooler文件中.
# Save boot messages also to boot.log
local7.* /var/log/boot.log #将和本地系统启动相关的信息记录到/var/log/boot.log文件中.
2. syslogd语法
该配置文件的每一行的格式如下:
facility.priority action 设备.级别 动作
3. Syslogd设备字段
设备字段用来指定需要监视的事件.它可取的值如下:
authpriv cron daemon kern lpr syslog user uucp mail news
报告认证活动通常,口令等私有信息不会被记录 报告与cron和at有关的信息 报告与xinetd有关的信息 报告与内核有关的信息 报告与打印服务有关的信息 由syslog生成的信息 报告由用户程序生成的任何信息由UUCP生成的信息 报告与邮件服务有关的信息 报告与网络新闻服务有关的信息
4. syslogd级别字段
级别字段用于指明与每一种功能有关的级别和优先级:
alert crit err warning notice info debug none * emerg
需要立即引起注意的情况 危险情况的警告 除了emerg,alert,crit的其他错误 警告信息需要引起注意的情况 值得报告的消息 由运行于debug模式的程序所产生的消息 用于禁止任何消息 所有级别,除了none 出现紧急情况使得该系统不可用
5. syslogd动作字段
动作字段用于描述对应功能的动作
file username device @hostname
指定一个绝对路径的日志文件名记录日志信息 发送信息到指定用户,*表示所有用户 将信息发送到指定的设备中,如/dev/console将信息发送到可解析的远程主机hostname,且该主机必须正在运行syslogd并可以识别syslog的配置文件
6. 查看日志文件
常见的日志文件日志文件通常存放在/var/log目录下.在该目录下除了包括syslogd 记录的日志之外,同时还包含所有应用程序的日志. 为了查看日志文件的内容必须要有root权限.日志文件中的信息很重要,只能让超级用户有访问这些文件的权限.
7. log
cups/ httpd/ mail/ news/ boot.log dmesg maillog messages secure wtmp
存储CUPS打印系统的日志目录 记录apache的访问日志和错误日志目录 存储mail日志目录 存储INN新闻系统的日志目录 记录系统启动日志记录系统启动时的消息日志 记录邮件系统的日志 由syslogd记录的info或更高级别的消息日志 由syslogd记录的认证日志 一个用户每次登录进入和退出时间的永久记录
8. 查看文本日志文件
绝大多数日志文件是纯文本文件,每一行就是一个消息.只要是在Linux下能够处理纯文本的工具都能用来查看日志文件.可以使用 cat,tac, more,less,tail和grep进行查看文件中每一行表示一个消息,而且都由四个域的固定格式组成: 时间标签(Timestamp):表示消息发出的日期和时间. 主机名(Hostname):表示生成消息的计算机的名字. 生成消息的子系统的名字:可以是"Kernel",表示消息来自内核或者 是进程的名字,表示发出消息的程序的名字. 在方括号里的是进程的PID. 消息(Message),即消息的内容.
syslog发出的消息,说明了守护进程已经在 Dec 16,03:32:41 重新启动了. Dec 16 03:32:41 cnetos5 syslogd 1.4.1: restart. # 在 Dec 19,00:20:56 启动了内核日志 klogd Dec 19 00:20:56 cnetos5 kernel: klogd 1.4.1, log source = /proc/kmsg started. # 在 Dec 19,00:21:01 启动了xinetd Dec 19 00:21:01 cnetos5 xinetd[2418]: xinetd Version 2.3.14 started with libwrap loadavg labeled-networking options compiled in.
9. 查看非文本日志文件Lastlog
也有一些日志文件是二进制文件,需要使用相应的命令进行读取.
使用lastlog命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志 /var/log/lastlog 的内容
rpc **从未登录过** rpcuser **从未登录过** sshd **从未登录过** pcap **从未登录过** haldaemon **从未登录过** xfs **从未登录过** gdm **从未登录过** boobooke **从未登录过** baobao pts/1 192.168.1.2 三 11月 26 12:44:32 +0800 2008 abc **从未登录过** test pts/1 192.168.1.5 四 11月 27 17:30:53 +0800 2008 test01 **从未登录过**
last命令往回搜索/var/log/wtmp来显示自从文件第一次创建以来登录过用户
root pts/1 116.226.69.195 Fri Aug 31 15:48 - 18:37 (02:49)
10. 查看非文本日志文件lastb
lastb命令搜索/var/log/btmp来显示登录未成功的信息.
root ssh:notty 222.143.27.97 Thu Sep 6 19:43 - 19:43 (00:00)
11. 查看非文本日志文件who
who命令查询wtmp文件并报告当前登录的每个用户.who命令的缺省输出包括用户名,终端类型,登录日期及远程主机.
[root@server ~]# who
root pts/0 2012-09-08 10:18 (116.226.69.195)
[root@server ~]# w
10:41:31 up 212 days, 20:19, 1 user, load average: 0.21, 0.16, 0.14
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 116.226.69.195 10:18 0.00s 0.09s 0.00s w
12.日志滚动
为什么使用日志滚动所有的日志文件都会随着时间的推移和访问次数的增加而迅速增长,因此必须对日志文件进行定期清理以免造成磁盘空间的不必要的浪费.同时也 加快了管理员查看日志所用的时间,因为打开小文件的速度比打开大文件的速度要快.
Logrotate 其命令格式为: logrotate [选项] <configfile>
-d:详细显示指令执行过程,便于排错或了解程序执行的情况.
-f:强行启动记录文件维护操作,即使logrotate指令认为无需要亦然 -m command:指定发送邮件的程序,默认为 /usr/bin/mail. -s statefile:使用指定的状态文件. -v:在执行日志滚动时显示详细信息.
13. 日志滚动
logrotate 默认的主配置文件是 /etc/logrotate.conf /etc/logrotate.d 的目录下的文件,这些文件被 include 到主配置文件 /etc/logrotate.conf 中
# see "man logrotate" for details # 每周清理一次日志文件
weekly #保存过去四周的日志文件
rotate 4 #清除旧日志文件的同时,创建新的空日志文件
create #若使用压缩的日志文件,请删除下面行的注释符
#compress #包含/etc/logrotate.d目录下的所有配置文件
include /etc/logrotate.d #设置/var/log/wtmp的日志滚动
/var/log/wtmp {
monthly
minsize 1M
create 0664 root utmp
rotate 1
}
可以使用ls命令显示/etc/logrotate.d目录:
[root@server ~]# ls /etc/logrotate.d
mgetty psacct rpm setroubleshoot snmpd syslog yum
每个文件的基本格式均相同
[root@server ~]# cat /etc/logrotate.d/syslog
/var/log/messages /var/log/secure /var/log/maillog /var/log/spooler /var/log/boot.log /var/log/cron { #对日志文件
sharedscripts #调用日志滚动通用函数sharedscripts
postrotate #在日志滚动之后执行语句括号postrotate和endscript之间的命令postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
/bin/kill -HUP `cat /var/run/rsyslogd.pid 2> /dev/null` 2> /dev/null || true #重新启动syslogd
endscript
}
logrotate是由crond运行的,在默认配置中,可以发现在/etc/cron.daily目录中有一个名为logrotate的文件
[root@server ~]# cat /etc/cron.daily/logrotate
#!/bin/sh
/usr/sbin/logrotate /etc/logrotate.conf
EXITVALUE=$?
if [ $EXITVALUE != 0 ]; then
/usr/bin/logger -t logrotate "ALERT exited abnormally with [$EXITVALUE]"
fi
exit 0
‘陆’ 常用的linux命令
1、cd命令
这是一个非常基本,也是大家经常需要使用的命令,它用于切换当前目录,它的参数是要切换到的目录的路径,可以是绝对路径,也可以是相对路径。如:
cd
/root/Docements # 切换到目录/root/Docements
cd ./path #
切换到当前目录下的path目录中,“.”表示当前目录
cd ../path #
切换到上层目录中的path目录中,“..”表示上一层目录
2、ls命令
这是一个非常有用的查看文件与目录的命令,list之意,它的参数非常多,下面就列出一些我常用的参数吧,如下:
-l
:列出长数据串,包含文件的属性与权限数据等
-a
:列出全部的文件,连同隐藏文件(开头为.的文件)一起列出来(常用)
-d
:仅列出目录本身,而不是列出目录的文件数据
-h
:将文件容量以较易读的方式(GB,kB等)列出来
-R
:连同子目录的内容一起列出(递归列出),等于该目录下的所有文件都会显示出来
注:这些参数也可以组合使用,下面举两个例子:
ls -l
#以长数据串的形式列出当前目录下的数据文件和目录
ls -lR
#以长数据串的形式列出当前目录下的所有文件
3、grep命令
该命令常用于分析一行的信息,若当中有我们所需要的信息,就将该行显示出来,该命令通常与管道命令一起使用,用于对一些命令的输出进行筛选加工等等,它的简单语法为
grep [-acinv]
[--color=auto] '查找字符串' filename
它的常用参数如下:
-a
:将binary文件以text文件的方式查找数据
-c
:计算找到‘查找字符串’的次数
-i
:忽略大小写的区别,即把大小写视为相同
-v
:反向选择,即显示出没有‘查找字符串’内容的那一行
# 例如:
#
取出文件/etc/man.config中包含MANPATH的行,并把找到的关键字加上颜色
grep --color=auto
'MANPATH' /etc/man.config
# 把ls
-l的输出中包含字母file(不区分大小写)的内容输出
ls -l | grep -i
file
4、find命令
find是一个基于查找的功能非常强大的命令,相对而言,它的使用也相对较为复杂,参数也比较多,所以在这里将给把它们分类列出,它的基本语法如下:
find [PATH]
[option] [action]
# 与时间有关的参数:
-mtime n :
n为数字,意思为在n天之前的“一天内”被更改过的文件;
-mtime +n :
列出在n天之前(不含n天本身)被更改过的文件名;
-mtime -n :
列出在n天之内(含n天本身)被更改过的文件名;
-newer file :
列出比file还要新的文件名
# 例如:
find /root -mtime
0 # 在当前目录下查找今天之内有改动的文件
# 与用户或用户组名有关的参数:
-user name :
列出文件所有者为name的文件
-group name :
列出文件所属用户组为name的文件
-uid n :
列出文件所有者为用户ID为n的文件
-gid n :
列出文件所属用户组为用户组ID为n的文件
# 例如:
find
/home/ljianhui -user ljianhui # 在目录/home/ljianhui中找出所有者为ljianhui的文件
# 与文件权限及名称有关的参数:
-name filename
:找出文件名为filename的文件
-size [+-]SIZE
:找出比SIZE还要大(+)或小(-)的文件
-tpye TYPE
:查找文件的类型为TYPE的文件,TYPE的值主要有:一般文件(f)、设备文件(b、c)、
目录(d)、连接文件(l)、socket(s)、FIFO管道文件(p);
-perm mode
:查找文件权限刚好等于mode的文件,mode用数字表示,如0755;
-perm -mode
:查找文件权限必须要全部包括mode权限的文件,mode用数字表示
-perm +mode
:查找文件权限包含任一mode的权限的文件,mode用数字表示
# 例如:
find / -name
passwd # 查找文件名为passwd的文件
find . -perm 0755
# 查找当前目录中文件权限的0755的文件
find . -size +12k
# 查找当前目录中大于12KB的文件,注意c表示byte
5、cp命令
该命令用于复制文件,之意,它还可以把多个文件一次性地复制到一个目录下,它的常用参数如下:
-a :将文件的特性一起复制
-p
:连同文件的属性一起复制,而非使用默认方式,与-a相似,常用于备份
-i
:若目标文件已经存在时,在覆盖时会先询问操作的进行
-r
:递归持续复制,用于目录的复制行为
-u
:目标文件与源文件有差异时才会复制
例如 :
cp -a file1 file2
#连同文件的所有特性把文件file1复制成文件file2
cp file1 file2
file3 dir #把文件file1、file2、file3复制到目录dir中
6、mv命令
该命令用于移动文件、目录或更名,move之意,它的常用参数如下:
-f
:force强制的意思,如果目标文件已经存在,不会询问而直接覆盖
-i
:若目标文件已经存在,就会询问是否覆盖
-u
:若目标文件已经存在,且比目标文件新,才会更新
注:该命令可以把一个文件或多个文件一次移动一个文件夹中,但是最后一个目标文件一定要是“目录”。
例如:
mv file1 file2
file3 dir # 把文件file1、file2、file3移动到目录dir中
mv file1 file2 #
把文件file1重命名为file2
7、rm命令
该命令用于删除文件或目录,remove之间,它的常用参数如下:
-f
:就是force的意思,忽略不存在的文件,不会出现警告消息
-i
:互动模式,在删除前会询问用户是否操作
-r
:递归删除,最常用于目录删除,它是一个非常危险的参数
例如:
rm -i file #
删除文件file,在删除之前会询问是否进行该操作
rm -fr dir #
强制删除目录dir中的所有文件
8、ps命令
该命令用于将某个时间点的进程运行情况选取下来并输出,process之意,它的常用参数如下:
-A :所有的进程均显示出来
-a
:不与terminal有关的所有进程
-u :有效用户的相关进程
-x
:一般与a参数一起使用,可列出较完整的信息
-l
:较长,较详细地将PID的信息列出
其实我们只要记住ps一般使用的命令参数搭配即可,它们并不多,如下:
ps aux #
查看系统所有的进程数据
ps ax #
查看不与terminal有关的所有进程
ps -lA #
查看系统所有的进程数据
ps axjf #
查看连同一部分进程树状态
9、kill命令
该命令用于向某个工作(%jobnumber)或者是某个PID(数字)传送一个信号,它通常与ps和jobs命令一起使用,它的基本语法如下:
kill -signal PID
signal的常用参数如下:
注:最前面的数字为信号的代号,使用时可以用代号代替相应的信号。
1:SIGHUP,启动被终止的进程
2:SIGINT,相当于输入ctrl+c,中断一个程序的进行
9:SIGKILL,强制中断一个进程的进行
15:SIGTERM,以正常的结束进程方式来终止进程
17:SIGSTOP,相当于输入ctrl+z,暂停一个进程的进行
例如:
#
以正常的结束进程方式来终于第一个后台工作,可用jobs命令查看后台中的第一个工作进程
kill -SIGTERM
%1
#
重新改动进程ID为PID的进程,PID可用ps命令通过管道命令加上grep命令进行筛选获得
kill -SIGHUP PID
10、killall命令
该命令用于向一个命令启动的进程发送一个信号,它的一般语法如下:
killall [-iIe]
[command name]
它的参数如下:
-i
:交互式的意思,若需要删除时,会询问用户
-e :表示后面接的command
name要一致,但command name不能超过15个字符
-I :命令名称忽略大小写
# 例如:
killall -SIGHUP
syslogd # 重新启动syslogd
11、file命令
该命令用于判断接在file命令后的文件的基本数据,因为在Linux下文件的类型并不是以后缀为分的,所以这个命令对我们来说就很有用了,它的用法非常简单,基本语法如下:
file filename
#例如:
file ./test
12、tar命令
该命令用于对文件进行打包,默认情况并不会压缩,如果指定了相应的参数,它还会调用相应的压缩程序(如gzip和bzip等)进行压缩和解压。它的常用参数如下:
-c :新建打包文件
-t
:查看打包文件的内容含有哪些文件名
-x
:解打包或解压缩的功能,可以搭配-C(大写)指定解压的目录,注意-c,-t,-x不能同时出现在同一条命令中
-j
:通过bzip2的支持进行压缩/解压缩
-z
:通过gzip的支持进行压缩/解压缩
-v
:在压缩/解压缩过程中,将正在处理的文件名显示出来
-f filename
:filename为要处理的文件
-C dir
:指定压缩/解压缩的目录dir
上面的解说可以已经让你晕过去了,但是通常我们只需要记住下面三条命令即可:
压缩:tar -jcv -f
filename.tar.bz2 要被处理的文件或目录名称
查询:tar -jtv -f
filename.tar.bz2
解压:tar -jxv -f
filename.tar.bz2 -C 欲解压缩的目录
注:文件名并不定要以后缀tar.bz2结尾,这里主要是为了说明使用的压缩程序为bzip2
13、cat命令
该命令用于查看文本文件的内容,后接要查看的文件名,通常可用管道与more和less一起使用,从而可以一页页地查看数据。例如:
cat text | less #
查看text文件中的内容
# 注:这条命令也可以使用less
text来代替
14、chgrp命令
该命令用于改变文件所属用户组,它的使用非常简单,它的基本用法如下:
chgrp [-R]
dirname/filename
-R
:进行递归的持续对所有文件和子目录更改
# 例如:
chgrp users -R
./dir # 递归地把dir目录下中的所有文件和子目录下所有文件的用户组修改为users
15、chown命令
该命令用于改变文件的所有者,与chgrp命令的使用方法相同,只是修改的文件属性不同,不再详述。
16、chmod命令
该命令用于改变文件的权限,一般的用法如下:
chmod [-R] xyz
文件或目录
-R:进行递归的持续更改,即连同子目录下的所有文件都会更改
同时,chmod还可以使用u(user)、g(group)、o(other)、a(all)和+(加入)、-(删除)、=(设置)跟rwx搭配来对文件的权限进行更改。
# 例如:
chmod 0755 file #
把file的文件权限改变为-rxwr-xr-x
chmod g+w file #
向file的文件权限中加入用户组可写权限
18、vim命令
该命令主要用于文本编辑,它接一个或多个文件名作为参数,如果文件存在就打开,如果文件不存在就以该文件名创建一个文件。vim是一个非常好用的文本编辑器,它里面有很多非常好用的命令,在这里不再多说。你可以从这里下载vim常用操作的详细说明。
19、gcc命令
对于一个用Linux开发C程序的人来说,这个命令就非常重要了,它用于把C语言的源程序文件,编译成可执行程序,由于g++的很多参数跟它非常相似,所以这里只介绍gcc的参数,它的常用参数如下:
-o
:output之意,用于指定生成一个可执行文件的文件名
-c
:用于把源文件生成目标文件(.o),并阻止编译器创建一个完整的程序
-I :增加编译时搜索头文件的路径
-L
:增加编译时搜索静态连接库的路径
-S :把源文件生成汇编代码文件
-lm:表示标准库的目录中名为libm.a的函数库
-lpthread
:连接NPTL实现的线程库
-std=
:用于指定把使用的C语言的版本
# 例如:
#
把源文件test.c按照c99标准编译成可执行程序test
gcc -o test
test.c -lm -std=c99
#把源文件test.c转换为相应的汇编程序源文件test.s
gcc -S test.c
20、time命令
该命令用于测算一个命令(即程序)的执行时间。它的使用非常简单,就像平时输入命令一样,不过在命令的前面加入一个time即可,例如:
time ./process
time ps aux
在程序或命令运行结束后,在最后输出了三个时间,它们分别是:
user:用户CPU时间,命令执行完成花费的用户CPU时间,即命令在用户态中执行时间总和;
system:系统CPU时间,命令执行完成花费的系统CPU时间,即命令在核心态中执行时间总和;
real:实际时间,从command命令行开始执行到运行终止的消逝时间;
来自 <https://www.cnblogs.com/yunliu0603/p/10118189.html>
‘柒’ 为什么 Linux 好多命令都带字母 d
syslogd就是syslog服务daemon
httpd就是http服务daemon
按这个节奏理解就行
‘捌’ linux中怎么终止正在运行的进程
Linux中终止一个正在运行运行的进程最常用的是kill命令,它是用进程PID作为参数来杀死进程。那如何获得指定进程的PID呢?用pidof命令啊。比如获取syslogd进程PID的命令是:pidof syslogd。知道了进程PID,就可以用kill命令终止它了:
kill -9 PID号码
或者kill -2 PID号码
-9参数是强制结束进程,而-2参数是相当于用键盘组合键Ctrl+C的方式正常结束进程,两种方式可以根据进程的运行情况来用。
终止进程还可以选择killall命令,顾名思义就是杀死所有以某个命令启动的所有进程(以杀死httpd命令启动的所有进程为例):
killall -9 httpd
‘玖’ linux的日志监控程序默认开启吗那开启的命令是啥
cat /var/log/*.log
如果日志在更新,如何实时查看 tail -f /var/log/messages
还可以使用 watch -d -n 1 cat /var/log/messages
-d表示高亮不同的地方,-n表示多少秒刷新一次。
该指令,不会直接返回命令行,而是实时打印日志文件中新增加的内容,这一特性,对于查看日志是非常有效的。如果想终止输出,按 Ctrl+C 即可。
在Linux系统中,有三个主要的日志子系统:
连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。
进程统计--由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
错误日志--由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
常用的日志文件如下:
access-log 纪录HTTP/web的传输
acct/pacct 纪录用户命令
aculog 纪录MODEM的活动
btmp纪录失败的纪录
lastlog纪录最近几次成功登录的事件和最后一次不成功的登录
‘拾’ 用linux自带的syslog怎么实现日志代理
1 syslogd的配置文件
syslogd的配置文件/etc/syslog.conf规定了系统中需要监视的事件和相应的日志的保存位置
cat /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages #除了mail/news/authpriv/cron以外,将info或更高级别的消息送到/var/log/messages,其中*是通配符,代表任何设备;none表示不对任何级别的信息进行记录
# The authpriv file has restricted access.
authpriv.* /var/log/secure #将authpirv设备的任何级别的信息记录到/var/log/secure文件中,这主要是一些和认证,权限使用相关的信息.
# Log all the mail messages in one place.
mail.* -/var/log/maillog #将mail设备中的任何级别的信息记录到/var/log/maillog文件中, 这主要是和电子邮件相关的信息.
# Log cron stuff
cron.* /var/log/cron #将cron设备中的任何级别的信息记录到/var/log/cron文件中, 这主要是和系统中定期执行的任务相关的信息.