有關Centos日誌分析的詳細介紹

1.瞭解記錄檔
linux的記錄檔可以說是最有用的了，記錄檔可以讓我們瞭解系統所處的狀態，比如能查出哪些使用者有登入，這也涉及相關的安全問題。如果我們不懂得分析日誌，可能我們都不知道有些使用者曾經登入過我們的系統。另外系統出了什麼問題，我們也要查看系統日誌，比如我們經常會進入不了Xwindows,我們要查看系統日誌類似XFree86.0.log等檔案，再來詳細的說一下，如果我們運行過系統顯示內容方面的設定[理論上應該叫XFree86.setup],我以Redhat 8.0來說一下這個問題，當我們在終端或者虛擬控制台下運行redhat-config-xfree86時，我們就能在etc/var

目錄下發現一個XFree86.setup.log,這個檔案記錄著我們曾經設定過的內容以及詳細的情況。

2.記錄檔所處的位置
記錄檔所處的位置都在/var/log目錄下，前提是您沒有對日誌設定檔/etc/syslog.conf進行過特別的配製。

3.記錄檔的設定檔
記錄檔的配製檔案，在/etc/syslog.conf,如果我們要修改日誌配製檔案，我們要首先要備份。這一點，是我們進行系統管理的首要任務。

下面的命令是備份，我是以root許可權操作的，使用root許可權要小心，切記。
[root@linuxsir01 root]# cp /etc/syslog.conf /etc/syslog.confBAK
當我們把/etc/syslog.conf配製錯了，但我們還記不清楚原來的系統檔案是什麼樣的了。這時備份檔案就有極大的作用了，我們就還原回去就OK了。我們還可以再來改動這個檔案。
[root@linuxsir01 root]# cp /etc/syslog.confBAK /etc/syslog.conf

4.日誌配製檔案都有些什嗎？請看！我們可以用下面的命令來查看，比如more /etc/syslog.conf
[root@linuxsir01 root]# more /etc/syslog.conf
# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything （except mail） of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/message
s
# The authpriv file has restricted access.
authpriv.* /var/log/secure安全驗證日誌，系統產生的記錄檔是放在了/var/log/secure
# Log all the mail messages in one place.
mail.* /var/log/maillog這個是電子郵件系統的功能，這個記錄檔是在/var/log/maillog目錄下。
# Log cron stuff
cron.* /var/log/cron[COLOR=blue]這個是計時資訊
# Everybody gets emergency messages
*.emerg * 這是syslog對日誌所設定的層級，emerg表示系統已經不可用
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler這是syslog對news和uucp的日誌所設定的層級，crit表示危急，但事故還沒有發生，將要發生。
# Save boot messages also to boot.log
local7.* /var/log/boot.log 開機系統日誌，用local7來表示，記錄檔的位置處在/var/log,記錄檔是boot.log
#
# INN
#
news.=crit /var/log/news/news.crit
news.=err /var/log/news/news.err

news.notice /var/log/news/news.notice

5]日誌類型
authpriv 安全性/驗證的資訊，通過這個，我們可以查看比如telnet和ssh之類登入系統方面的日誌。這對於防黑有重要作用，不可小視。
cron 任務調度資訊，有點象windows中的計劃任務，我們可以通過這個程式在什麼時間做什麼事。他的配製檔案在 /etc/crontab中，在這裡我們是說它的記錄檔的配製
kern 這是系統核心的日誌，這個要我們自己定義存放位置，我們可以在/etc/syslog.conf中自己來定義存放位置。比如，我們可以在syslog.conf中加一行，比如是這樣的
ker.debug /var/log/kern.log
local0-local7 自訂層級，開機系統日誌，用local7來表示，記錄檔的位置處在/var/log,記錄檔是boot.log
lpr 看名字也應該知道，這是列印的記錄檔，這個我們也一樣可以自己來定義。在下面，我們再逐步深入說一下如何寫系統日誌
mail 是電子郵件的，sendmail,qmail等資訊
news 是新聞群組伺服器的。
user 一般和戶資訊
syslog 內部log資訊
auth 也是使用者登入的資訊，安全性和驗證性的日誌
uucp 全稱是UNIX-TO-UNIX COPY PROTOCOL的資訊

6]記錄層級，日誌系統管理員來維護系統的，系統日誌的內容太多，所以就有必要把日誌按層級來排序，這樣能方便管理員發現比較緊急和重要的問題，以著手處理和解決。
這裡有一個主次順序，也就是重要的都放在前面，層級是由高而低的。
emerg 系統已經不可用，層級為緊急
alert 警報，需要立即處理和解決
crit 既將發生，得需要預防。事件就要發生
warnig 警告。
err 錯誤資訊，普通的錯誤資訊
notice 提醒資訊，很重要的資訊
info 通知資訊，屬於一般資訊
debug 這是調試類資訊
* 記錄所有的資訊，並發到所給所有的使用者
瞭解了linux日誌的儲存、類型等內容後，大家最感興趣的莫過於如何分析linux日誌了。
此時，我們需要掌握一些 linux 日誌分析命令 ,然後用這些命令或指令碼對日誌進行詳細分析。

7]日誌設定或者文法格式的書寫
在/etc/syslog.conf中，根據我們自己的情況，可以配製或者定義記錄檔。文法格式如下，也比較簡單
日誌類型。等級 日誌存放位置[要用絕對路徑]

舉個例子來說
kern.debug /var/log/kern.log
進一步詳細解說：[註：以RedHat 8.0為例]在RedHat 8.0中，我們能看到如下的一行。這代表什麼意思呢。
authpriv.* /var/log/secure
這個代表的意思是：所有驗證類層級的日誌都存放在secure這個記錄檔裡。有時，我們也會在/var/log目錄裡，看到secure1之類的，其實也是這類的日誌，我們要靈活一下。是不是？
通過這個檔案，我們可以看到驗證類的日誌，比如telnet和ssh等。如果別人用telnet我們的機器，我們就要查看這個檔案了。我們可以通過
#more secure | grep telnet來看，當然用more也能一頁一頁的看過去，我的目的僅僅是想知道是不是這個檔案能看到這方面的東西，比如我用機其它器telnet,我的linux的主機，就有從下面得到記錄。是不是一清二楚了？
Dec 15 15:22:59 linuxsir01 xinetd[809]: START: telnet pid=2535 from=192.168.0.6
Dec 17 01:06:42 linuxsir01 xinetd[810]: START: telnet pid=26581 from=192.168.0.6
Dec 17 17:59:05 linuxsir01 xinetd[810]: START: telnet pid=4152 from=192.168.0.8
Dec 18 02:52:59 linuxsir01 xinetd[810]: START: telnet pid=9520 from=192.168.0.6
Dec 18 03:15:55 linuxsir01 xinetd[810]: START: telnet pid=9910 from=192.168.0.6