系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监控系统中发生的事件。用户可以通过它来检查错误发生的的原因,或者寻找受到攻击时攻击者留下的痕迹。
Windows的事件查看器就是一个日志系统。Linux的日志系统则是通过安装sysklogd这个软件包形成了两个服务:
/sbin/klogd 针对硬件(针对内核所产生的,很多和硬件相关)
/sbin/syslogd 针对软件(系统的日志服务器)
查看硬件方面的日志:
[root@localhost ~]# dmesg |grep -i cpu 查看CPU的相关信息
[root@localhost ~]# dmesg |grep -i mem 查看内存的相关信息
[root@localhost ~]# dmesg |grep -i eth0 查看eth0的相关信息
网络设备:路由器、防火墙、交换机等都有自己的日志能力。
日志的作用是:让我们及时了解系统的变化,从而帮助我们做一些诊断。
日志的分类文件:/etc/syslog.conf
从man手册中可以看出,日志分类文件的第一列表示日志的类型以及日志的级别,第二列表示对第一列所指定的日志采取的动作。
通常采取的动作由三种:
1、将指定类型日志写到文件中(文件名)
2、将指定类型日志发给每个当前登录到系统的用户(*)
3、将指定类型日志发到别的日志服务器上(@地址)
在linux上实现日志服务器:
1、开启日志服务
系统默认已经开启。
2、编辑配置文件
添加-r选项,表示允许记录来自于别的主机的日志。
3、重启服务
至此,日志服务器就配置完成了。接下来打开另外一个linux虚拟机,作为应用服务器,也就是日志架构中的客户端,进行测试。
4、测试:
在客户端编辑 /etc/syslog.conf文件,修改动作列为:@日志服务器地址。并重启日志服务。
在服务器上观察客户端发送的日志信息。
可以看到服务器端显示了客户端的日志信息。
Windows实现日志服务器:需要安装一个第三方软件 Kiwi_Syslogd 日志服务器。