Syslog介紹

Download Report

Transcript Syslog介紹 

Syslog介紹
Outline
何謂登錄檔
 登錄檔的重要性
 常見的登錄檔檔名
 登錄檔相關的服務與程式
 DEMO

何謂登錄檔
記錄系統活動資訊的幾個檔案,例如:何時、
何地 (來源 IP)、何人 (什麼服務名稱)、做
了什麼動作 (訊息登錄)。
 換句話說就是:記錄系統在什麼時候由哪個
程序做了什麼樣的行為時,發生了何種的事
件等等。
 通常這些登錄檔只有root 可以進行視察的功
能!

登錄檔的重要性

解決系統方面的錯誤:
◦ 系統會將硬體偵測過程記錄在登錄檔內,透過查詢登
錄檔就能夠瞭解系統作了甚麼事。

解決網路服務的問題:
◦ 網路的各種服務都會被寫入特別的登錄檔, 只要查詢
登錄檔就會知道出了什麼差錯。
◦ 例如:郵件伺服器(sendmail),可查詢
/var/log/maillog。

記錄登錄資訊:
◦ 例如:WWW 服務 (apache 軟體) 在某個時刻流量特別
大,可以透過登錄檔去找出該時段是哪些 IP 在連線
與查詢的網頁資料為何,就能夠知道原因。
Linux 常見的登錄檔檔名

/var/log/boot.log:記錄開機或者是一些服
務啟動的時候,所顯示的啟動或關閉訊息。

/var/log/dmesg:
記錄系統在開機的時候核心偵測過程所產生
的各項資訊。

/var/log/faillog:錯誤登入時所使用的帳號
資訊 。

/var/log/messages:系統發生的錯誤訊息
(或者是重要的資訊)幾乎都會記錄在這個檔
Linux 常見的登錄檔檔名(cont.)

/var/log/secure:記錄登入系統存取資料的
檔案,例如 pop3, ssh, telnet, ftp 等都
會記錄在此檔案中。

/var/log/httpd/, /var/log/news/,
/var/log/mysql.log, /var/log/samba/:不
同的網路服務會使用個別的登錄檔案來記載。

/var/log/maillog 或 /var/log/mail/:紀
錄郵件存取(sendmail與pop3)的使用者記
錄。

/var/log/cron:例行性工作排程的登錄檔。
Linux 常見的登錄檔檔名(cont.)
 /var/log/lastlog:可以記錄系統上面所
有的帳號最近一次登入系統時的相關資訊。
◦ 檔案內容查閱指令:lastlog
 /var/log/wtmp:記錄登入者的訊息資料
(檔案已經被編碼過)
◦ 檔案內容查閱指令:last [-option]
◦ last 顯示所有系統user login記錄
◦ last –a 顯示所有系統user login記錄,並將
hostname 放在最後一個欄位
◦ last –100 顯示最後100個系統user login記錄
◦ last woody 顯示由woody login 記錄
登錄檔相關的服務與程式
klogd:
◦ 主要登錄核心產生的各項資訊。
syslogd:
◦ 主要登錄系統與網路等服務的訊息。
logrotate:
◦ 主要在進行登錄檔的輪替功能。
syslogd :記錄登錄檔的服務
 查詢syslog是否開啟
◦ ps aux | grep syslog
 查詢啟動哪些服務(run
level)
◦ ntsysv
◦ chkconfig --list syslog
-- 多字元 ex: chkconfig --list
- 單一字元 ex: ifconfig -a
Syslog 設定檔
 /etc/syslog.conf
Syslog 設定檔(cont.)

服務名稱:例如 mail, http, news, cron, at 等等的服務名稱;

訊息等級:總共分成下列幾種等級:
◦ info : 提示一些訊息資料;
◦ notice : 注意!需要比較留意的訊息;
◦ waring 或 warn : 警示的訊息,以上三個訊息都還是沒有錯誤的情況
◦ Err 或 error : 錯誤訊息出現!該要檢驗錯誤的問題發生原因了;
◦ crit : 臨界點了。
◦ alert : 錯誤訊息一再地警告警告。
◦ emerg 或 panic : 系統已經進入混亂的階段。
◦ 特殊等級:例如 debug (顯示較多的資訊)及 none (不要記錄該服務
的內容)

存放或顯示地點:通常我們使用的都是記錄的檔案
◦ 檔案的絕對路徑:通常就是放在 /var/log 裡頭的檔案啦!
◦ 印表機或其他:例如 /dev/lp0 這個印表機裝置
◦ 使用者名稱:顯示給使用者囉!
◦ 遠端主機:例如 @163.22.4.91
DEMO:自行增加登錄檔
 新增登錄檔案
◦ vim /etc/syslog.conf
◦ #add vsftp log by kjclark
◦ ftp.notice
/var/log/ftp.notice
 重新啟動服務
◦ /etc/init.d/syslog restart
 檢查新增的登錄檔案是否存在
◦ ls /var/log/
DEMO:登錄檔訊息等級差異實
作
 ftp
10.40.11.51
◦ 帳號錯誤
◦ 帳號正確密碼錯誤
◦ 帳號正確密碼正確
logrotate 的設定檔
 /etc/logrotate.d/
◦ 目錄資料夾,裡面所有檔案會主動寫入參
數檔案中
 /etc/logrotate.conf
◦ 主要參數檔案
logrotate 的設定檔
 vim
/etc/logrotate.conf
 vim /etc/logrotate.d/syslog
logrotate 的設定檔
EXERCISES:
 利用Mail一封信給自己或同學,並在
syslog中找出紀錄。
 嘗試修改logrotate的rotate參數並觀察
數字由大變小或由小變大時/var/log/的
變化。
 安裝vsftp並練習demo中的實作。
Reference
 Quick
HOWTO : Ch05 : Troubleshooting
Linux with syslog
 http://linux.vbird.org/linux_basic/0570sysl
og.php#syslogd_conf
 http://zh.wikipedia.org/zh-tw/注册表
 http://voip.com.ncnu.edu.tw/Summer2010
/index.html