登录文件
其实,可以说成是监控系统的记录,系统一举一动基本会记录下来。这样由于信息非常全面很重要,通常只有 root 可以进行视察!通过登录文件(日志文件)可以根据屏幕上面的错误讯息与再配合登录文件的错误信息,几乎就可以解决大部分的 Linux 问题! 所以日志文件异常重要,作为一个合格的linux系统工程师,日志文件是必要熟练掌握的部分。
常见的几个登录文件有:
/var/log/secure:记录登入系统存取数据的文件,例如 pop3, ssh, telnet, ftp 等都会被记录;
/var/log/wtmp:记录登入者的讯息数据,由于本文件已经被编码过,所以必须使用 last指令来取出文件的内容;
/var/log/messages:尤为重要,几乎发生的错误讯息(或是重要信息)都会被记录在此;
/var/log/boot.log:记录开机或者是一些服务启动的时候,所显示的启动或关闭讯息;
/var/log/maillog 或 /var/log/mail/*:纪录邮件存取或往来( sendmail 与 pop3 )的使用者记录;
/var/log/cron:记录 crontab 这个例行**的内容的。
/var/log/httpd, /var/log/news, /var/log/mysqld.log, /var/log/samba, /var/log/procmail.log:分别是几个不同的网络服务的记录文件!
登录文件的纪录程序之一: syslogd
通常经过 syslog 而记录下来的数据主要有:
事件发生的日期与时间;
发生此事件的主机名称;
启动此事件的服务名称 (如 samba, xinetd 等) 或函式名称 (如 libpam ..);
该讯息数据内容
syslogd的daemon配置文件:/etc/syslog.conf
内容语法是这样的:
服务名称[.=!]讯息等级 讯息记录的文件名或装置或主机
# 例如底下:
mail.info /var/log/maillog_info
服务名称:该服务产生的讯息会被纪录的意思。syslog 认识的服务主要有底下这些:
auth, authpriv:主要与认证有关的机制,例如telnet, login, ssh 等需要认证的服务都是使用此一机制;
cron:例行性命令 cron/at 等产生讯息记录的地方;
daemon:与各个 daemon 有关的讯息;
kern:核心 (kernel) 产生讯息的地方;
lpr:打印相关的讯息!
mail:只要与邮件收发有关的讯息纪录都属于这个;
news:与新闻群组服务器有关的东西;
syslog:syslogd 这支程序本身产生的信息啊!
user, uucp, local0 ~ local7:与 Unix like 机器本身有关的一些讯息。
讯息等级
系统将讯息分为七个主要的等级,依序是由不重要排列到重要讯息等级:
info:仅是一些基本的讯息说明而已;
notice:比 info 还需要被注意到的一些信息内容;
warning 或 warn:警示讯息,可能有问题,但是还不至于影响到某个 daemon 运作。
err 或 error :一些重大的错误讯息,这就要去找原因了。
crit:比 error 还要严重的错误信息,crit 是临界点 (critical) 的缩写,已经很严重了!
alert:警告警告,已经很有问题的等级,比 crit 还要严重!
emerg 或 panic:疼痛等级,意指系统已经几乎要当机的状态! 很严重的错误信息了。
除了这些有等级的讯息外,还有两个特殊的等级,那就是 debug(错误侦测等级) 与 none (不需登录等级) 两个,当要作一些错误侦测,或者是忽略掉某些服务的信息时,就用这俩!
在讯息等级之前还有 [.=!] 的连结符号!他代表的意思是:
. :代表比后面还要高的等级(含该等级)都被记录下来的意思, 例如:mail.info 代表只要是 mail 的信息,而且该信息等级高于 info (含info )时,就会被记录下来。
.=:代表所需要的等级就是后面接的等级而已!
.!:代表不等于。
日志文件记录的文件名或装置或主机常见的放置处:
文件的绝对路径:通常就是放在 /var/log 里头的文件!
打印机或其它:例如 /dev/lp0 这个打印机装置 (即使被黑客可以删除掉日志文件,但是最终删除不了打印出来的日志信息)
使用者名称:显示给使用者!
远程主机:例如 @test.adsldns.org,要对方主机也能支持才行!
*:代表目前在线的所有人,类似 wall 这个指令的意义!
看看在尚未开启网络服务的情况下来自 Fedora Core Release 4 的相关资料
[root@linux ~]# vi /etc/syslog.conf
#kern.* /dev/console
# 只要是 kernel 产生的讯息,全部都送到 console 去!默认是关闭的。
*.info;mail.none;authpriv.none;cron.none /var/log/messages
# 在已知各服务的讯息中,不要记录到这个文件中,把已知的服务记录到单独的日志文件中去,方便日后查询,否则messages这个文件就太混乱了。这个文件非常重要,所有未知的信息都会被记录在这个文件中,所以有问题,找这个文件就八九不离十了。
authpriv.* /var/log/secure
# 这个就是经过一些身份确认的行为之后,需要记录身份的文件。
mail.* -/var/log/maillog
# 只要跟 mail 有关的(不论是 pop3 还是 sendmail )都会被纪录到这个文件!
cron.* /var/log/cron
#例行性命令相关的。
*.emerg *
# 任何时候发生的警告讯息都会显示给在线的所有人!那个 * 就是目前在线的所有人。
uucp,news.crit /var/log/spooler
# 记录新闻错误高于 crit 的等级的信息,写入 spooler 当中!
local7.* /var/log/boot.log
# 将开机的当中的讯息写入 /var/log/boot.log 中!
每个版本的 syslog.conf 差异是很大的,所以,每个登录文件记录的数据其实不很固定。
例:让所有的信息都额外写入到 /var/log/admin.log!
[root@linux ~]# vi /etc/syslog.conf
*.info /var/log/admin.log 》》如果服务器硬盘容量够大,这么做也不失为一个良策。
[root@linux ~]# /etc/init.d/syslog restart
[root@linux ~]# ll /var/log/admin.log
-rw------- 1 root root 122 Oct 23 22:21 /var/log/admin.log 》》注意权限
一台主机管理多台主机登录文件
# 1. 先取得 port number 的信息!
[root@linux ~]# grep 514 /etc/services
syslog 514/udp 》》syslog的固定端口
# 注意,/etc/services 里面必须要存在这一行才行,否则自行手写!
# 2. 修改 syslogd 的启动配置文件
[root@linux ~]# vi /etc/sysconfig/syslog
#SYSLOGD_OPTIONS="-m 0" 改成底下这样子
SYSLOGD_OPTIONS="-m 0 -r"
# 3. 重新启动与观察 syslogd !
[root@linux ~]# /etc/init.d/syslog restart
[root@linux ~]# netstat -tlunp
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 0.0.0.0:514 0.0.0.0:* 24314/syslogd
Linux 主机已经可以接收来自其它主机的登录信息了!client 端的设定就简单了!只要指定某个信息传送到这部主机即可!比如,登录文件主机 IP 为 192.168.1.100 ,而 client 端希望所有的数据都送给主机,可以在 /etc/syslog.conf 里面新增这样的一行:
[root@linux ~]# vi /etc/syslog.conf
*.* @192.168.1.100
未来主机上面的登录文件当中,每一行的主机名称就会显示来自不同主机的信息了。
登录文件服务程序之二,轮滚(logrotate):
所谓的 logrotate ,就是将旧的 log 文件更名,然后建立一个空的 log 文件,如此一来,新的 log 文件将从零开始记录,然后只要将旧的 log 文件留下一段时间! 旧的纪录 保存了一段时间没有问题,那么就可以让系统自动的将他删掉,否则占用硬盘空间。如图比如规定了message日志文件轮滚3次:
最初的日志文件 message
轮滚一次后 message message1
轮滚二次后 message message1 message2
轮滚三次后 message message1 message2 message3 》》删除(如果再次轮滚,message3就会被删除,而message2就会变成message3,且系统会新建立一个message)
注意,相同颜色的mssage表示的是一个内容的文件,只不过每次轮滚他的名字后面会改一次数字。
logrotate 的配置文件
/etc/logrotate.conf
/etc/logrotate.d/
注意! logrotate.conf 才是主要的参数文件,logrotate.d 是一个目录, 该目录里面的所有文件都会被主动的读入/etc/logrotate.conf 当中来进行!另外,在 /etc/logrotate.d/ 里面的文件中,如果没有规定到的一些细部设定,则以/etc/logrotate.conf 的规定来指定为默认值!
[root@linux ~]# vi /etc/logrotate.conf
# 底下是 "logrotate 的预设值,如果个别的文件设定了其它的参数,那么将以个别的文件设定为主,若该文件没有设定到的参数,则以这个档案的内容为默认值!
Weekly 》》预设每个礼拜对登录文件进行一次 rotate 的工作
rotate 4 》》保留四个登录文件!
create 》》是否建立新的登录文件来记录!
#compress 》》 rotate 之后的登录文件,是否压缩,通常是不要压缩啦,压缩登录文件扩展名会变成 messages.1.gz !系统负载不大,且日志比较大,可以考虑压缩。
include /etc/logrotate.d 》》将底下这个目录中的所有文件都读进来执行 rotate 的工作!
/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
}
。。。省略。。。
# 在 logrotate.conf 文件当中,只有这个数据是在记载如何对登录文件进行轮替的!这个登录文件记载的就是使用 login 登入系统时的使用者状态,last就是读自 /var/log/wtmp 当中记录的数据!整个段落的意义是:
# 1. 每个月进行一次 log rotate 的工作;
# 2. 将文件的权限设定为 664 ,且拥有者为 root ,群组为 utmp;
# 3. 仅保存前一个月的 rotate 备份!可以修改大一点
[root@linux ~]# vi /etc/logrotate.d/syslog
/var/log/messages /var/log/secure /var/log/maillog /var/log/spooler
/var/log/boot.log /var/log/cron {
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
endscript
}
设定的项目与前面提到的相同,并且可加入轮替前 (pre) 与后 (post) 的一些特殊执行的指令! 这个设定需与 sharedscripts .... endscript 设定合用才行;
prerotate:启动 logrotate 之前进行的指令,例如修改登录文件的属性等动作;
postrotate:做完logrotate 之后启动的指令,例如重新启动 (kill -1 或 kill -HUP) 某个服务!
这一段设定值说明的是:『 /var/log 目录内的 messages, secure, mailog, spooler, boot.log 及 cron 这六个文件,每个礼拜进行一次轮替,且保留四个登录档,此外, 在轮替进行完毕之后,执行 syslog 的重新启动』因为没有提到该设定项目,所以就用 /etc/logrotate.conf 内的默认值来作用
解决charrt+a与lorotate矛盾的方法:
矛盾处:a属性会让文件只能添加数据,不能修改文件名,不能删除(防止日志文件被入侵,被恶意删除),而lorotate需要修改文件的文件名。
解决办法就是利用 prerotate 与 postrotate 来进行登录文件轮替前、后所需要作的动作!可以这样修改一下这个文件!
[root@linux ~]# vi /etc/logrotate.d/syslog
/var/log/messages /var/log/secure /var/log/maillog /var/log/spooler
/var/log/boot.log /var/log/cron {
sharedscripts
prerotate
/usr/bin/chattr -a /var/log/messages
endscript
sharedscripts
postrotate
/bin/kill -HUP `cat /var/run/syslogd.pid 2> /dev/null` 2> /dev/null || true
/usr/bin/chattr +a /var/log/messages
endscript
}
特别留意,/bin/kill -HUP ...这一行的目的在于将系统的syslogd重新以其参数( syslog.conf )的资料读入一次!也可以想成是 reload 的意思! 由于建立了一个新的空的纪录文件,如果不执行此一行来重新启动服务, 那么记录的时候将会发生错误! 另外注意颜色字体部分格式,需要配套书写。
实际测试 logrotate 的动作
[root@linux ~]# logrotate [-vf] logfile
参数:
-v :启动显示模式,会显示 logrotate 运作的过程喔!
-f :不论是否符合设定文件的数据,强制每个登录文件都进行 rotate 的动作!
例:强制进行 logrotate 的动作
[root@linux ~]# logrotate -vf /etc/logrotate.conf
# 此命令属于企业危险命令,因为旧的日志对企业安全有很大作用,如果强行轮滚,造成提前删除旧日志文件,可能会有麻烦,所以不要乱用!预设的 logrotate 的执行时间就是放在 /etc/cron.daily/logrotate 里面的!由于logrotate 的工作已经加入crontab 里了!所以现在每天系统都会自动的查看 logrotate !
案例:建立了 /var/log/admin.log,想要加上 +a属性,要求:
登录文件轮替一个月进行一次;
该登录文件若大于 10MB 时,则主动进行轮替,不需要考虑一个月的期限;
保存五个备份文件;
备份文件不要压缩
[root@linux ~]# chattr +a /var/log/admin.log
[root@linux ~]# lsattr /var/log/admin.log
-----a------- /var/log/admin.log
[root@linux ~]# mv /var/log/admin.log /var/log/admin.log.1
mv: cannot move '/var/log/admin.log' to '/var/log/admin.log.1':permission deny
[root@linux ~]# vi /etc/logrotate.d/admin
# This configuration is from lonogo 2009/6/26
/var/log/admin.log {
monthly
size=10M
rotate 5
nocompress
sharedscripts
prerotate
/usr/bin/chattr -a /var/log/admin.log
endscript
sharedscripts
postrotate
/usr/bin/killall -HUP syslogd
/usr/bin/chattr +a /var/log/admin.log
endscript
}
[root@linux ~]# logrotate -v /etc/logrotate.conf
。。省略。。
[root@linux ~]# logrotate -vf /etc/logrotate.d/admin 》》强行滚一下
....省略....
[root@linux ~]# lsattr /var/log/admin.log* 》》看看滚后的文件的权限变化了
-----a------- /var/log/admin.log
------------- /var/log/admin.log.1
注意, /etc/syslog.conf 与 /etc/logrotate.d/*通常是配合使用,目录下的.d目录下的文件未提及的设置,会参考助.conf配置文件的设置。
分析登录文件
dmesg
[root@linux ~]# dmesg | more
由于系统在开机的过程当中尚未将硬盘 mount 上来,所以无法直接将数据直接读到 log file 当中去,但是为了除错上面的方便, 所以在开机的过程当中的讯息还是要记录下来,这个时候系统就将 ram 开了一个小区块来储存这个数据!这个开机记录文件就是:/proc/kmsg!
几乎所有的核心信息都可以使用 dmesg 来查阅得到的,例 想要知道开机有没有捉到网卡,dmesg | grep 'eth' !
last
[root@linux ~]# last -n number
[root@linux ~]# last -f filename
参数:
-n :last 会读出这个月的数据,若数据量太大,可使用 -n 来严格要求显示的笔数。例如 20 笔数据: last -n 20 或 last -20 均可。
-f :last预设读出 /var/log/wtmp,但是我们可以透过 -f 读取不同的登录文件信息!
例,将上个月的资料读出,仅读出5笔资料
[root@linux ~]# last -n 5 -f /var/log/wtmp.1
dmtsai2 pts/2 Mon Oct 24 14:18 - 14:18 (00:00)
dmtsai2 work:0 work Mon Oct 24 14:18 gone - no logout
dmtsai2 work:0 work Mon Oct 24 14:18 - 14:18 (00:00)
dmtsai2 pts/2 Mon Oct 24 14:18 - 14:18 (00:00)
dmtsai2 work:0 work Mon Oct 24 14:18 - 14:18 (00:00)
[root@linux ~]# lastlog
lastlog 只是读出 /var/log/lastlog 内的信息. 他会显示目前系统上面的所有账号当中,每个账号最近一次登入的时间!