Linux系統日志管理常用的工具和指令

Linux系統日志管理常用的工具和指令

　　日志對于安全來說，非常重要，它記錄了系統每天發生的各種各樣的事情，你可以通過它來檢查錯誤發生的原因，或者受到攻擊時攻擊者留下的痕跡。下面是相關的知識，歡迎閱讀。

　　日志主要的功能有：審計和監測。它還可以實時的監測系統狀態，監測和追蹤侵入者等等。

　　那么日志存放的位置在哪里呢?

　　/var/log

　　常用日志文件

　　⊙btmp 記錄登陸失敗的信息

　　⊙lastlog 記錄最近幾次成功登錄的事件和最后一次不成功的登錄

　　⊙messages 從syslog中記錄信息(有的鏈接到syslog文件)

　　⊙utmp 記錄當前登錄的每個用戶

　　⊙wtmp 系統登錄的情況：登入登出

　　登錄信息的查看

　　last 查看登錄日志內容

　　lastlog 記錄所有的用戶什么時候登錄過系統

　　lastlog 和 last的區別：

　　last 查看IP

　　lastlog 查看后門的賬號

　　lastb 查看

　　# 如果說你發現你的btmp文件變得很大,說明有很大的可能是有人在暴力破解你的主機

　　日志管理

　　 系統和程序的“日記本”

　　– 記錄系統、程序運行中發生的各種事件

　　– 通過查看日志,了解及排除故障

　　– 信息安全控制的“依據”

　　/var/log/messages 記錄內核消息、各種服務的公共消息

　　/var/log/dmesg 記錄系統啟動過程的各種消息

　　/var/log/cron 記錄與cron計劃任務相關的消息

　　/var/log/maillog 記錄郵件收發相關的消息

　　/var/log/secure 記錄與訪問限制相關的安全消息

　　/var/log/lastlog 最后登錄信息

　　/var/log/btmp 用戶登錄系統的錯誤信息

　　 通用分析工具

　　– tail、tailf、less、grep等文本瀏覽/檢索命令

　　– awk、sed等格式化過濾工具

　　用戶登錄分析

　　 users、who、w 命令

　　– 查看已登錄的用戶信息,詳細度不同

　　 last、lastb 命令

　　– 查看最近登錄成功/失敗的用戶信息

　　日志消息的優先級

　　 Linux內核定義的事件緊急程度

　　– 分為 0~7 共8種優先級別

　　– 其數值越小,表示對應事件越緊急/重要

　　4級別本身及以上，屬于錯誤日志

　　使用journalctl工具

　　 提取由 systemd-journal 服務搜集的日志

　　– 主要包括內核/系統日志、服務日志

　　 常見用法

　　– journalctl | grep 關鍵詞

　　– journalctl -u 服務名 [-p 優先級]

　　– journalctl -n 消息條數

　　– journalctl --since="yyyy-mm-dd HH:MM:SS" --

　　until="yyyy-mm-dd HH:MM:SS"

　　栗子：

　　# yum -y install httpd

　　# systemctl restart httpd

　　# journalctl -u httpd

　　# journalctl -u httpd -p 6

　　# journalctl

　　# journalctl -n 10

　　systemd

　　 一個更高效的系統&服務管理器

　　– 開機服務并行啟動,各系統服務間的精確依賴

　　– 配置目錄:/etc/systemd/system/

　　– 服務目錄:/lib/systemd/system/

　　– service:后臺的獨立服務

　　– target:一套配置單元的組合,類似于傳統“運行級別”(運行模式)

　　運行模式:圖形、字符

　　graphical.target 圖形

　　multi-user.target 字符

　　設置開機默認的運行級別(運行模式)

　　# systemctl get-default #查看默認的運行模式

　　# systemctl set-default graphical.target

　　# systemctl get-default

　　# reboot

　　臨時切換運行級別(運行模式)

　　# systemctl isolate multi-user.target

　　# systemctl isolate graphical.target

　　啟動/停止/重啟/看狀態

　　 控制服務狀態

　　– systemctl start|stop|restart 服務名...

　　 查看服務的運行狀態

　　– systemctl status 服務名...

　　配置開機自啟

　　 查看服務是否自啟

　　– systemctl is-enabled 服務名...

　　 設置服務是否開機自啟

　　– systemctl enable|disable 服務名...

【Linux系統日志管理常用的工具和指令】相關文章：

Linux系統文件目錄管理常用的命令10-20

Linux系統文件管理09-16

Linux系統下的ipmitool工具應該怎樣使用08-23

簡述linux系統日常管理08-14

Linux系統巡檢常用的命令08-20

Linux系統與VIM常用的命令10-14

Linux系統常用操作命令06-24

linux系統常用的系統信息查看命令08-10

Linux系統常用的查看命令09-06