系统日志管理系统日志管理日志文件概述日志文件概述系统的日志文件不仅可以让管理员了解系系统的日志文件不仅可以让管理员了解系统状态,在系统出现问题时统状态,在系统出现问题时系统管理员可系统管理员可以查阅日志文件来确定系统当前状态、观以查阅日志文件来确定系统当前状态、观察入侵者踪迹、寻找某特定程序察入侵者踪迹、寻找某特定程序((或事件或事件))相关的数据相关的数据日志和日志系统简介日志和日志系统简介日志的主要用途日志的主要用途系统审计、监测追踪和分析统计。系统审计、监测追踪和分析统计。日志系统的由来日志系统的由来LinuxLinux内核由很多子系统组成,包括网络、文件访问、内存管理内核由很多子系统组成,包括网络、文件访问、内存管理等。子系统需要给用户传送一些消息,这些消息内容包括消息的等。子系统需要给用户传送一些消息,这些消息内容包括消息的来源及其重要性等。所有的子系统都要把消息送到一个可以维护来源及其重要性等。所有的子系统都要把消息送到一个可以维护的公用消息区,于是,就有了的公用消息区,于是,就有了syslogsyslog日志系统。日志系统。syslogsyslogsyslogsyslog是一个综合的日志记录系统。是一个综合的日志记录系统。syslogsyslog主要功能主要功能方便日志管理方便日志管理分类存放日志分类存放日志syslogsyslog的组成的组成日志守护进程日志守护进程klogdklogd:只处理内核消息:只处理内核消息日志守护进程日志守护进程syslogdsyslogd:处理其他系统消息:处理其他系统消息syslogdsyslogd与与klogdklogd守护进程守护进程行的基本语法是:行的基本语法是:[[选择器选择器][][动作动作]]注意:中间的分隔符必须是注意:中间的分隔符必须是TabTab字符!字符!选择器选择器是由“是由“设备设备”和“”和“优先级优先级”构成,中间”构成,中间用点号连接。用点号连接。动作动作““动作动作”选项可以对日志进行处理。可以把它存”选项可以对日志进行处理。可以把它存入硬盘,转发到另一台机器或显示在管理员的终入硬盘,转发到另一台机器或显示在管理员的终端上。端上。配置日志文件配置日志文件syslog.confsyslog.conf动作动作::文件名写入某个文件,要注意绝对路径。文件名写入某个文件,要注意绝对路径。@@主机名转发给另外一台主机的主机名转发给另外一台主机的syslogdsyslogd程序。程序。@IP@IP地址同上,只是用地址同上,只是用IPIP地址标识而已。地址标识而已。/dev/console/dev/console发送到本地机器屏幕上。发送到本地机器屏幕上。**发送到所有用户的终端上。发送到所有用户的终端上。||程序通过管道转发给某个程序。程序通过管道转发给某个程序。例如:例如:kern.emerg/dev/console(kern.emerg/dev/console(一旦发生内核的紧急状况,立刻把一旦发生内核的紧急状况,立刻把信息显示在控制台上信息显示在控制台上))选择器选择器----消息来源消息来源““设备设备”代表信息产生的源头,可以是:”代表信息产生的源头,可以是:authauth认证系统,即询问用户名和口令认证系统,即询问用户名和口令croncron系统定时系统执行定时任务时发出的信息系统定时系统执行定时任务时发出的信息daemondaemon某些系统的守护程序的某些系统的守护程序的syslog,syslog,如由如由in.ftpdin.ftpd产生的产生的loglogkernkern内核的内核的syslogsyslog信息信息lprlpr打印机的打印机的syslogsyslog信息信息mailmail邮件系统的邮件系统的syslogsyslog信息信息markmark定时发送消息的时标程序定时发送消息的时标程序newsnews新闻系统的新闻系统的syslogsyslog信息信息useruser本地用户应用程序的本地用户应用程序的syslogsyslog信息信息uucpuucpuucpuucp子系统的子系统的syslogsyslog信息信息local0..7local0..7种本地类型的种本地类型的syslogsyslog信息信息,,这些信息可以这些信息可以又用户来定义又用户来定义**代表以上各种设备代表以上各种设备优先级优先级““优先级优先级”代表信息的重要性,可以是:”代表信息的重要性,可以是:emergemerg紧急,处于紧急,处于...
