Linux System-Log

Tags: Protokolle

Standard-Protokoll Systemklassifizierung

/ Var/Log/Messages-System-Dienste und Protokolle, einschließlich Informationen über Dienstleistungen, Fehler, etc..
/ Var/Log/secure Systems Authentifizierungsinformationen anmelden
/ Var/Log/Maillog-System-Mail-Dienst Informationen
/ Var/Log/Cron-System-Timing-Task-Informationen
/Var/log/Boot.log Systemstartinformationen

Log Management Services Rsyslog

1. Rsyslog ist verantwortlich für die Protokolle zu sammeln und sortieren Speicherprotokollen
2. Rsyslog Log Klassifizierung
VIM/ETC/RSYSLOG.CONF Master-Konfigurationsdatei
Dienstleistungen-Protokolldateien Ebene/Lagerung
*.*/Var/log/westos

Systemctl neu starten, starten Sie Rsyslog Protokolldienst

Format

Protokollmedium (Typ). (Verbindungssymbol) Log Level Protokoll Verarbeitung (Aktion)

Protokollgeräte(Kann als eine Art Protokoll verstanden werden):
Protokolle von Auth Pam erzeugt
Informationen zur Überprüfung der Login-Informationen wie Authpriv ssh, ftp
Cron Zeit Aufgabe im Zusammenhang mit
Kern-kernel
LPR-drucken
Mail Mail
Markieren Sie (Syslog) – Rsyslog Informationen innerhalb der Service, die Zeit Identifikation
Nachrichten Newsgroups
Informationen durch die Nutzer-Client-Programm erzeugt
UUCP Unix UNIX kopieren, im Zusammenhang mit Kommunikation zwischen UNIX-hosts
Lokale 1 ~ 7 Custom Protokollgeräte

Log-level
— — —-
Debug Modulation Information hat, die Log-Informationen
Info-wie Protokolle, am häufigsten verwendet
Informationen über die wichtigsten gemeinsamen Bedingungen beachten
Warnstufe Warnung
Err Fehler, Informationen, die verhindert, dass eine Funktion oder ein Modul richtig funktioniert
Crit Schweregrad zu verhindern, dass Informationen, die das gesamte System oder die gesamte Software nicht richtig funktioniert
Warnung muss die Informationen sofort geändert werden
Emerg Kernel Abstürze und andere seriöse Informationen
Keine aufnehmen nicht nichts.

Hinweis: Von oben nach unten, das Niveau ist von niedrig bis hoch, und weniger Informationen protokolliert
Details im Handbuch eingesehen werden: Man 3 Syslog

Anschluss-Symbole
— — —-
. XXX: Stellt Informationen größer als oder gleich auf XXX
. = XXX: stellt Informationen gleich XXX Stufe
.! XXX: Gibt den Umfang der Informationen außerhalb XXX

Instanz
(1) auf eine normale Datei oder Gerätedatei aufnehmen:
*.*/Var/log/file.log absoluten Pfad
*.*/Dev/pts/0


2. senden Sie an Benutzer (erforderlich online zu erhalten)
*. * Root
*. * Wurzel, KADEFOR, UP01 nutzt, Nummern zu trennen mehrere Benutzer
Die *. * ** Zeichen zeigt an, dass alle Benutzer online

(3) ignorieren, verwerfen
Local3.* ~ ignorieren alle Ebenen der Protokolle für alle local3

4. führen Sie das Skript::
Local3.* ^/tmp/a.sh ^ ist, gefolgt von den absoluten Pfad der ausführbaren Skript oder Programm
Inhalt kann als erster Parameter eines Skripts verwendet werden.
Kann verwendet werden, um Alarme auslösen

Log-Synchronisation

Systemctl Stop FIREWALLD schaltet sich die Firewall von zwei hosts

Konfigurieren von Log Absender
*. * @172.25.0.11 sendet Protokolle auf 11 Hosts über UDP-Protokoll, @udp, @ @tcp

Konfigurieren von Log Empfänger
$ModLoad IMUDP Log erhalten-Plug-ins
$UDPServerRun 514 Protokoll erhalten Plug-in nutzt Häfen


Netstat-Anulpe | Grep rsyslog
UDP 0 0 0.0.0.0:514 0.0.0.0:* 0 122073 32654/Rsyslogd
UDP6 0 0:: 514::: * 0 122074 32654/Rsyslogd

Test
Es ist auf beiden Seiten die/Var/Log/Messages.
Logger Test Log Absender

Tail-f/Var/Log/Message Log Empfänger

Cat/Var/Log/Nachricht

(1) ändern Sie der Absender Profil und starten Sie den Dienst nach Abschluss

650) this.width=650; "Src =" https://s3.51cto.com/wyfs02/M00/9C/9F/wKiom1lzWb_y6DLXAABxVEJf42g553.png "Style =" Float : None; "Titel =" Screenshot von 2017-07-22 14-27-41.png "Alt =" WKiom1lzWb_y6DLXAABxVEJf42g553.png "/ >

(2) der Empfänger-Profil ändern, Anzeigen des Abhör-Ports, starten Sie den Dienst nach Abschluss

650) this.width=650; "Src =" https://s4.51cto.com/wyfs02/M01/9C/9F/wKioL1lzWezRpDeGAAAqH_m370w177.png "Titel =" Screenshot aus 2017-07-22 14-21-35.png "Alt =" wKioL1lzWezRpDeGAAAqH_m370w177.png "/ >

650) this.width=650; "Src =" https://s1.51cto.com/wyfs02/M02/9C/9F/wKiom1lzWb3zzNbCAABCZ8HOBI0418.png "Style =" Float : None; "Titel =" Screenshot von 2017-07-22 16-12-56.png "Alt =" WKiom1lzWb3zzNbCAABCZ8HOBI0418.png "/ >

3. Testergebnisse

650) this.width=650; "Src =" https://s3.51cto.com/wyfs02/M02/9C/9F/wKioL1lzWb6Cz12dAACcr1Ouw-w052.png "Style =" Float : None; "Titel =" Screenshot von 2017-07-22 15-55-44.png "Alt =" WKioL1lzWb6Cz12dAACcr1Ouw w052.png "/ >

Erwerb Protokollformate
$Template Westos, "% timegenerated%%fromhost-ip%%syslogtag%%msg%\n"

% Timegenerated % Anzeigezeit Log
% FROMHOST-IP % Display Host IP
% Syslogtag % Protokollierung Reiseziel
% Msg % Log Inhalt
\N Zeilenumbruch

$ActionfileDefaultTemplate Westos

*.Info;mail.none;authpriv.none;cron.none/var/log/messages; << Westos >>



Log-Analyse-Tool Journal

Prozessname Systemd-journald

Journalctl direkte Ausführung, Systemprotokoll durchsuchen
-N 3 zeigt die neuesten 3 Artikel
-P zeigt Err Fehler
Überwachung -F-Protokoll
--Da--bis--seit "[YYYY-MM-DD] [HH]" aus, was wann Zeit Protokoll
-O ausführliche zeigt detaillierte Prozess-Parameter, die das Protokoll verwenden können
_SYSTEMD_UNIT=sshd.Service Service-Name
_PID = 1182 Prozess PID


Management von Systemd-journald
In der Standardeinstellung dieses Programm ignoriert die Log-Informationen vor dem Neustart, wenn nicht ignoriert:
Mkdir/Var/Log/journal
Chown Root: Systemd-Journal/Var/Log/Journal
Chmod 2755/Var/Log/journal
Killall-1 Systemd-journald
ls-/var/log/journal/4513ad59a3b442ffa4b7ea88343fa55f
System.Journal Benutzer-1000.journal

Linux System-Log