rsyslogd
lastb
lastb 登陆错误日志,文件位于/var/log/btmp,二进制文件
lastlog
lastlog 记录系统中所有用户最后一次登陆时间的日志,文件位于/var/log/lastlog,二进制文件
last
last 永久记录所有用户的登陆,注销信息,同时记录系统的启动,重启,关机时间,文件位于/var/log/wtmp,二进制文件
RPM安装软件日志
日志文件格式
事件产生的时间'
发生事件的服务器的主机名
产生事件的服务名或程序名
事件的具体信息
/etc/rsyslog.conf配置文件
- 格式
服务名称[连接符号]日志等级 日志记录位置
authpriv.* /var/log/secure
- 连接符
"."代表只要比后门的等级高的(包含该等级)日志都记录下来,比如:"cron.info"代表cron服务产生的日志,只要日志等级大于等于info级别就记录
".="代表只记录所需等级的日志,其它等级的都不记录.比如:"*.=emerg"代表任何服务产生的日志,只要等级是emerg就记录,用的较少
".!"代表不等于,也就是除了该等级的日志外,其它等级的日志都记录
- 日志等级
|等级名称|说明|
|----|----|
|*|所有等级|
|debug|一般的调试信息说明|
|info|基本的通知信息|
|notice|普通信息,但是有一定的重要性|
|warning|警告信息,但是还不会影响到服务或系统的运行|
|err|错误信息,一般达到err等级的信息已经可以影响到服务或系统的运行了|
|crit|临界状况信息,比err等级还严重|
|alert|警告状态信息,比crit还严重|
|emerg|疼痛等级信息,系统已经无法使用了| - 日志记录位置
|日志位置|说明|
|----|----|
|/var/log/secure|绝对路径|
|/dev/lp0|系统设备文件|
|@192.168.1.1:514|转发给远程主机|
|root|用户名(需用户在线)"*"代表任何人|
|~|忽略或丢弃|
日志轮替
- 日志文件的命名规则
如果配置文件中拥有"dateext"参数,那么日志会用日期来作为日志文件的后缀,如:secure-20191010
如果配置文件中没有"dateext"参数,那么日志就需要改名了
logrotate
logroteta [选项] 配置文件名 如果此命令没有选项,则会按照配置文件中的条件进行日志轮替
| 参数 | 说明 |
|---|---|
| -v | 显示日志轮替过程 |
| -f | 强制进行日志轮替 |
配置文件 /etc/lorptate.conf
vim /etc/lorptate.conf //把源码包安装的apache日志进行轮替
/usr/local/apache2/logs/access_log { //apache的默认日志文件地址
daily //每天轮替
create //创建新文件
rotate 30 //日志保留30天
}
| 参数 | 说明 |
|---|---|
| daily | 日志的轮替周期是每天 |
| weekly | 每周轮替 |
| monthly | 每月轮替 |
| rotate 数字 | 保留的日志文件的个数,0指没有备份 |
| compress | 日志轮替时,就得日志进行压缩 |
| create mode oener group | 建立新日志,同时指定新日志的权限与所有者和所属组,如:create 0600 root utmp |
| mail address | 当体质轮替时,输出内容通过邮件发送到指定的邮件地址,如 mail mrhonest@qq.com |
| missingok | 如果日志不存在,则忽略该日志的警告信息 |
| notifempty | 如果日志为空文件,则不进行日志轮替 |
| minsize 大小 | 日志轮替的最小值,也就是日志要达到这个最小值才能轮替,否则就算时间达到也不轮替 |
| size 大小 | 日志只有大于指定大小才进行轮替,而不是按照时间轮替,如:size 100k |
| dateext | 使用日期作为日志轮替的文件后缀 |