日誌分類:

1. 連線時間的日誌 

連線時間日誌一般由/var/log/wtmp和/var/run/utmp這兩個檔案記錄，不過這

　　兩個檔案無法直接cat檢視，並且該檔案由系統自動更新，可以通過如下：

　　w/who/finger/id/last/lastlog/ac 進行檢視

　　[[email protected] ~]# who

　　root tty1 2010-10-06 22:56

　　root pts/0 2010-10-06 22:26 (218.192.87.4)

　　root pts/1 2010-10-06 23:41 (218.192.87.4)

　　root pts/3 2010-10-06 23:18 (218.192.87.4)

　　[[email protected] ~]# w

　　01:01:02 up 2:36, 4 users, load average: 0.15, 0.03, 0.01

　　USER TTY FROM [email protected] IDLE JCPU PCPU WHAT

　　root tty1 - 22:56 1:20m 0.16s 0.16s -bash

　　root pts/0 218.192.87.4 22:26 2:05m 0.18s 0.18s -bash

　　root pts/1 218.192.87.4 23:41 0.00s 0.41s 0.00s w

　　root pts/3 218.192.87.4 23:18 1:38m 0.03s 0.03s -bash

　　[[email protected] ~]# ac -p //檢視每個使用者的連線時間

　　u51 1.23

　　u55 0.04

　　root 95.21 //可以看到root連線時間最長吧

　　xhot 0.06

　　user1 3.93

　　total 100.48

　　[[email protected] ~]# ac -a //檢視所有使用者的連線時間

　　total 100.49

　　[[email protected] ~]# ac -d //檢視使用者每天的連線時間

　　Sep 24 total 0.14

　　Sep 25 total 14.60

　　Sep 26 total 13.71

　　Sep 27 total 21.47

　　Sep 28 total 11.74

　　Sep 29 total 6.60

　　Sep 30 total 8.81

　　Oct 1 total 9.04

　　Oct 2 total 0.47 //可以看到我國慶3、4、5號出去玩了

　　Oct 6 total 8.62

　　Today total 5.29

　　其他幾個命令不做具體介紹了

2. 程序監控日誌

　　程序統計監控日誌在監控使用者的操作指令是非常有效的。當伺服器最近發現經常

　　無故關機或者無故被人刪除檔案等現象時，可以通過使用程序統計日誌檢視：

　　[[email protected] ~]# accton /var/account/pacct //開啟程序統計日誌監控

　　[[email protected] ~]# lastcomm //檢視程序統計日誌情況

　　accton S root pts/1 0.00 secs Thu Oct 7 01:20

　　accton root pts/1 0.00 secs Thu Oct 7 01:20

　　ac root pts/1 0.00 secs Thu Oct 7 01:14

　　ac root pts/1 0.00 secs Thu Oct 7 01:14

　　free root pts/1 0.00 secs Thu Oct 7 01:10

　　lastcomm root pts/1 0.00 secs Thu Oct 7 01:09

　　bash F root pts/1 0.00 secs Thu Oct 7 01:09

　　lastcomm root pts/1 0.00 secs Thu Oct 7 01:09

　　ifconfig root pts/1 0.00 secs Thu Oct 7 01:09

　　lastcomm root pts/1 0.00 secs Thu Oct 7 01:09

　　lastcomm root pts/1 0.00 secs Thu Oct 7 01:09

　　lastcomm root pts/1 0.00 secs Thu Oct 7 01:09

　　accton S root pts/1 0.00 secs Thu Oct 7 01:09

　　[[email protected] ~]# accton //關閉程序統計日誌監控

3. 系統和服務日誌

　　系統日誌服務是由一個名為syslog的服務管理的，如一下日誌檔案都是由syslog日誌服務驅動的：

　　/var/log/lastlog ：記錄最後一次使用者成功登陸的時間、登陸IP等資訊

　　/var/log/messages ：記錄Linux作業系統常見的系統和服務錯誤資訊

　　/var/log/secure ：Linux系統安全日誌，記錄使用者和工作組變壞情況、使用者登陸認證情況

　　/var/log/btmp ：記錄Linux登陸失敗的使用者、時間以及遠端IP地址

　　/var/log/cron ：記錄crond計劃任務服務執行情況

　　…...

　　[[email protected] ~]# cat /var/log/lastlog

　　Lpts/0218.192.87.4

　　Lpts/1218.192.87.4

　　Lpts/1218.192.87.4

　　Lpts/0218.192.87.46

　　Lpts/0218.192.87.4

　　…...

Linux日誌服務介紹

１. 在Linux系統，大部分日誌都是由syslog日誌服務驅動和管理的
      syslog服務由兩個重要的配置檔案控制管理，分別是/etc/syslog.conf主配置檔案和/etc/sysconfig/syslog輔助

　　配置檔案， /etc/init.d/syslog是啟動指令碼，這裡主講主配置檔案/etc/syslog.conf：

　　/etc/syslog.conf 語句結構：

　　[[email protected] ~]# grep -v "#" /etc/syslog.conf //列出非#打頭的每一行

　　*.info;mail.none;authpriv.none;cron.none /var/log/messages

　　authpriv.* /var/log/secure

　　mail.* -/var/log/maillog

　　cron.* /var/log/cron

　　*.emerg *

　　uucp,news.crit /var/log/spooler

　　local7.* /var/log/boot.log

　　選擇域(訊息型別.錯誤級別) 動作域

２. 訊息型別：auth,authpriv,security;cron,daemon,kern,lpr,mail, mark,news,syslog,user,uucp,local0~local7.

　　錯誤級別：(8級)debug,info,notice,warning|warn;err|error;crit,alert,emerg|panic

　　動作域：file,user,console,@remote_ip

　　舉如上的/etc/syslog.conf檔案三個例子：

　　*.info;mail.none;authpriv.none;cron.none /var/log/messages

　　表示info級別的任何訊息都發送到/var/log/messages日誌檔案，但郵件系統、驗證系統

　　和計劃任務的錯誤級別資訊就除外，不傳送（none表示禁止）

　　cron.* /var/log/cron 表示所有級別的cron資訊發到/var/log/cron檔案

　　*.emerg * 表示emerg錯誤級別（危險狀態）的所有訊息型別發給所有使用者

Linux日誌伺服器配置

　　此伺服器的配置非常簡單，只是修改一個檔案的一個地方，然後重啟服務即可：

　　[[email protected] ~]# grep -v "#" /etc/sysconfig/syslog

　　SYSLOGD_OPTIONS="-m 0 -r" //只要在這裡新增“-r”就行咯

　　KLOGD_OPTIONS="-x"

　　SYSLOG_UMASK=077

　　[[email protected] ~]# service syslog restart

　　關閉核心日誌記錄器： [確定]

　　關閉系統日誌記錄器： [確定]

　　啟動系統日誌記錄器： [確定]

　　啟動核心日誌記錄器： [確定]

　　對於傳送訊息到伺服器的OS，只要在寫/etc/syslog.conf主配置檔案的時候，作用域

　　為@server-ip就行了，比如針對218.192.87.24這臺日志伺服器，把一臺ubuntu系統的所有

　　info級別的auth資訊發給日誌伺服器，那麼對於ubuntu系統的/etc/syslog.conf檔案最後一

　　行新增 auth.info @218.192.87.24 就OK了

日誌轉儲服務

　　系統工作到了一定時間後，日誌檔案的內容隨著時間和訪問量的增加而越來越多，

　　日誌檔案也越來越大。而且當日志文件超過系統控制範圍時候，還會對系統性能

　　造成影響。轉儲方式可以設為每年轉儲、每月轉儲、每週轉儲、達到一定大小轉儲。

　　在Linux系統，經常使用“logrotate”工具進行日誌轉儲，結合cron計劃任務，可以輕鬆

　　實現日誌檔案的轉儲。轉儲方式的設定由“/etc/logrotate.conf”配置檔案控制：

　　[[email protected]ot ~]# cat /etc/logrotate.conf

　　# see "man logrotate" for details //可以檢視幫助文件

　　# rotate log files weekly

　　weekly //設定每週轉儲

　　# keep 4 weeks worth of backlogs

　　rotate 4 //最多轉儲4次

　　# create new (empty) log files after rotating old ones

　　create //當轉儲後文件不儲存時建立它

　　# uncomment this if you want your log files compressed

　　#compress //以壓縮方式轉儲

　　# RPM packages drop log rotation information into this directory

　　include /etc/logrotate.d //其他日誌檔案的轉儲方式，包含在該目錄下

　　# no packages own wtmp -- we'll rotate them here

　　/var/log/wtmp { //設定/var/log/wtmp日誌檔案的轉儲引數

　　monthly //每月轉儲

　　create 0664 root utmp //轉儲後文件不存在時建立它，檔案所有者為root，

　　所屬組為utmp，對應的許可權為0664

　　rotate 1 //轉儲一次

　　}

　　# system-specific logs may be also be configured here.

舉兩個例子： 
為/var/log/news/目錄下的所有檔案設定轉儲引數，每週轉儲，轉儲2次，轉儲

時將老的日誌檔案放到/var/log/news/old目錄下，若日誌檔案不存在，則跳過。完成後重啟

news新聞組服務，轉儲時不壓縮。那麼可以在/etc/logrotate.conf檔案的最後新增如下：

　　/var/log/news/*{

　　monthly

　　rotate 2

　　olddir /var/log/news/old

　　missingok

　　postrotate

　　kill -HUP `cat /var/run/inn.pid`

　　endscript

　　nocompress

　　}

另一個例子：為/var/log/httpd/access.log和/var/log/httpd/error.log日誌設定轉儲引數。轉儲

　　5次，轉儲時傳送郵件給[email protected]使用者，當日志文件達到100KB時才轉儲，轉儲後重啟

　　httpd服務，那麼可以直接在/etc/logrotate.conf檔案的最後新增如下：

　　/var/log/httpd/access.log /var/log/http/error.log{

　　rotate 5

　　size=100k

　　sharedscripts

　　/sbin/killall -HUP httpd

　　endscript

　　}

自定義日誌轉儲（/etc/logrotate.d/*）

　　通過下面一個例子將所有型別錯誤級別為info的日誌轉儲到/var/log/test.log日誌檔案中，並設定

　　/var/log/test.log達到50KB後進行轉儲，轉儲10次，轉儲時壓縮，轉儲後重啟syslog服務：

　　1、修改/etc/syslog.conf檔案使得如下：

　　[[email protected] ~]# tail -1 /etc/syslog.conf //檢視該檔案的最後一行

　　*.info /var/log/test.log

　　2、重啟syslog服務： 

[[email protected] ~]# /sbin/service syslog restart

　　關閉核心日誌記錄器： [確定]

　　關閉系統日誌記錄器： [確定]

　　啟動系統日誌記錄器： [確定]

　　啟動核心日誌記錄器： [確定]

　　3、建立/etc/logrotate.d/test.log日誌轉儲引數配置檔案，新增如下： 

[[email protected] ~]# vim /etc/logrotate.d/test.log

　　[[email protected] ~]# cat /etc/logrotate.d/test.log

　　/var/log/test.log{

　　rotate 10

　　size = 50k

　　compress

　　postrotate

　　killall -HUP syslog

　　endscript

　　}

　　4、檢視檔案/etc/cron.daily/logrotate確保如下：

　　[[email protected] ~]# cat /etc/cron.daily/logrotate

　　#!/bin/sh

　　/usr/sbin/logrotate /etc/logrotate.conf

　　EXITVALUE=$?

　　if [ $EXITVALUE != 0 ]; then

　　/usr/bin/logger -t logrotate "ALERT exited abnormally with [$EXITVALUE]"

　　fi

　　exit 0

　　5、檢視轉儲後的檔案 

[[email protected] log]# pwd

　　/var/log

　　[[email protected] log]# ls test.log*

　　…… //結果等要轉儲的時候會發現壓縮檔案和原本的test.log檔案

syslog是一個被UNIX和Linux廣泛使用的日誌系統，Linux系統中大部分的日誌檔案都是通過它進行管理的。本節將對syslog的功能及配置、日誌檔案的檢視和管理，以及syslog中預設配置的日誌檔案進行介紹。

12.2.1 syslog簡介

syslog是一個歷史悠久的日誌系統，幾乎所有的UNIX和Linux作業系統都是採用syslog進行系統日誌的管理和配置。Linux系統核心和許多程式會產生各種錯誤資訊、警告資訊和其他的提示資訊。這些資訊對管理員瞭解系統的執行狀態是非常有用的，所以應該把它們寫到日誌檔案中去。而執行這個過程的程式就是syslog。syslog可以根據資訊的來源以及資訊的重要程度將資訊儲存到不同的日誌檔案中，例如，為了方便查閱，可以把核心資訊與其他資訊分開，單獨儲存到一個獨立的日誌檔案中。在預設的syslog配置下，日誌檔案通常都儲存在“/var/log”目錄下。syslog的守護程序為syslogd，系統啟動時，預設會自動執行syslogd守護程序。

如果要手工啟動，可以使用如下命令：

/sbin/syslogd

在修改syslog配置後，需要重新啟動syslogd守護程序才能使新的配置生效。其命令如下所示。

# killall -HUP syslogd

Red Hat Enterprise Linux 5.2安裝後預設就已經在syslog中定義了一些日誌檔案，這些日誌的位置以及它們的說明如表12.2所示。

表12.2 預設配置syslog日誌