**
在Linux系統中,有三個主要的日志子系統:
連接時間日志: 由多個程式執行,把記錄寫入到/var/log/wtmp和/var/run/utmp,login等程式會更新wtmp和utmp檔案,使系統管理員能夠跟蹤誰在何時登錄到系統,
行程統計: 由系統內核執行,當一個行程終止時,為每個行程往行程統計檔案中寫一個記錄,行程統計的目的是為系統中的基本服務提供命令使用統計,
錯誤日志: 由rsyslog守護程式執行,各種系統守護行程、用戶程式和內核通過rsyslog守護程式向檔案/var/log/messages報告值得注意的事件,另外有許多Linux程式創建日志,像HTTP和FTP這樣提供網路服務的服務器也保持詳細的日志,
日志保存位置
默認位于:/var/log 目錄下
主要日志檔案介紹
內核及公共訊息日志:/var/log/messages
計劃任務日志:/var/log/cron
系統引導日志:/var/log/dmesg
郵件系統日志:/var/log/maillog
用戶登錄日志:/var/log/lastlog //最近的用戶登錄事件
/var/log/secure //用戶驗證相關的安全性事件
/var/log/wtmp //當前登錄用戶詳細資訊
/var/run/utmp //用戶登錄、注銷及系統開、關機等事件
用戶日志
有關當前登錄用戶的資訊記錄在檔案utmp中;utmp檔案被各種命令使用,包括who、w、users和finger,
登錄和退出記錄在檔案wtmp中;資料交換、關機以及重啟的資訊也都記錄在wtmp檔案中;wtmp檔案被命令last和ac使用,
所有的記錄都包含時間戳,時間戳對于日志來說非常重要,因為很多攻擊行為分析都是與時間有極大關系的,
這兩個檔案是二進制檔案,不能用諸如tail、cat之類的命令來進行訪問、操作,
查看和統計
內核及系統日志
由系統服務 rsyslog 統一管理
軟體包:rsyslog-7.4.7-7.el7_0.x86_64
主要程式:/usr/sbin/rsyslogd
組態檔:/etc/rsyslog.conf
查看組態檔內容grep -v “^$” /etc/rsyslog.conf
日志訊息的級別
0 EMERG(緊急):會導致主機系統不可用的情況
1 ALERT(警戒):必須馬上采取措施解決的問題
2 CRIT(嚴重):比較嚴重的情況
3 ERR(錯誤):運行出現錯誤
4 WARNING(警告):可能會影響系統功能的事件
5 NOTICE(提醒):不會影響系統但值得注意
6 INFO(資訊):一般資訊
7 DEBUG(除錯):程式或系統除錯資訊等
日志記錄的一般格式
配置日志服務器
第1步:安裝Apache服務yum -y install httpd*
第2步:安裝MariaDB資料庫yum -y install mariadb*
第3步:安裝PHP與其它相關軟體包
yum -y install php php-gd php-xml php-mysqlnd rsyslog-mysql
yum -y install libcurl-devel net-snmp-devel
第4步:設定資料庫開機運行并設定資料庫管理員root的密碼
第5步:設定Apache開機運行,并啟動它
第6步:創建測驗頁,并測驗
firefox http://10.0.0.11/test.php
配置日志服務器資料庫
配置服務器rsyslogd的主組態檔
vim /etc/rsyslog.conf
配置防火墻,開放TCP與UDP514埠、TCP 3306埠、TCP80埠,若未禁用Selinux請設定在警告模式運行
配置日志客戶端
vim /etc/rsyslog.conf
檔案最后面添加
編輯/etc/bashrc,將客戶端執行的所有命令寫入系統日志/var/log/messages中,在檔案末尾添加export PROMPT_COMMAND=’{msg=$(history 1 | {read x y;echo KaTeX parse error: Expected 'EOF', got '}' at position 3: y;}?);logger"[euid=(whoami)]":
(
w
h
o
a
m
i
)
:
[
′
p
w
d
′
]
"
(who am i):['pwd']"
(whoami):[′pwd′]"msg";}’
驗證配置是否成功
客戶端
服務器
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/233966.html
標籤:其他
上一篇:利用wegt命令獲取FTP資源