一.用户的登陆审计
1.查看登录的用户信息
1)w ---查看正在使用当前系统的用户
2)w -f ---查看使用来源
3)w -i ---显示ip
/var/run/utmp
2.last ---查看使用过并退出的用户信息
/var/log/wtmp
3.lastb ---试图登陆但没成功的用户
/var/log/btmp
二.系统日志管理
1.rsyslog# ---此服务用来采集系统日志的,它不产生日志,只起到采集作用
清空日志,将rsyslog服务暂停
查看日志,没有新的日志文件
2.rsyslog的管理
/var/log/messages ---服务信息日志
> /var/log/messages 清空服务信息日志;查看日志
/var/log/secure ---系统登陆日志
/var/log/cron ---定时任务日志
/var/log/maillog ---邮件日志
/var/log/boot.log ---系统启动日志
3.日志采集格式的设定
1)日志类型分为:
auth ---pam产生的日志
authpriv ---ssh,ftp等登陆信息的验证信息
cron ---时间任务相关
kern ---内核
lpr ---打印
mail ---邮件
mark(syslog) -rsyslog ---服务内部的信息,时间标识
news ---新闻组
user ---用户程序产生的相关信息
uucp ---unix to unnix copy,unix主机之间相关的通讯
local 1~7 ---自定义的日志设备
2)日志级别分为:
debug ---有调式信息的,日志信息最多
info --- 一般信息的日志,最常用
notice --- 最具有重要性的普通条件的信息
warning --- 警告级别
err ---错误级别,组织某个功能或者模块不能正常工作的信息
crit ---严重级别,组织整个系统或者整个软件不能正常工作的信息
alert ---需要立刻修改的信息
emerg ---内核崩溃等严重信息
none ---什么都不记录
注意:从上到下,级别从低到高,记录的信息越来越少
详细的可以查看手册:man 3 syslog
按q退出查看手册
例子:
1.指定日志采集路径
什么类型的日志.什么级别的日志 /var/log/filename(这里的file不需要已经存在,设定完后重启该服务,自动生成该目录文件)
vim /etc/rsyslog.conf
*.*;authpriv.none /var/log/linux ---任意类型.任意级别的日志 ssh,ftp的日志不记录
退出保存,重启rsyslog服务
serverssh连接desktop,查看linux文件,文件中没有产生该记录
2.指定日志产生格式
$template WESTOS, "%timegengerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated% ---显示日志时间
%FROMHOST-IP% ---显示主机ip
%syslogtag% ---日志记录目标
%msg% ---日志内容
\n ---换行
例子:
设定LINUX日志格式,显示日志时间,主机ip
在文件路径末尾添加LINUX,指定它的日志格式为LINUX样式的
重启服务后cat /var/log/linux查看
4.日志的远程同步
工作时候需要将日志实时汇总给处理的主机,需要进行同步发送。
1)在日志发送方:
vim /etc/rsyslog.conf
*.* @172.25.254.200 ---“@”表示udp协议发送,“@@”表示tcp协议发送
systemctl restart rsyslog重启服务
在日志接收方:
vim /etc/rsyslog.conf
15 $ModLoad imudp ---日志接收模块
16 $UDPServerRun 514 ---开启接收端口
systemctl restart rsyslog
systemctl stop firewalld ---关闭火墙
4.时间同步服务
服务名称
chronyd
在服务端:
vim /etc/chrony.conf
22 allow 172.25.254.0/24 ---允许那些客户端来同步本机时间(所以还得关闭自己的防火墙,其他客户端才能访问到本机的时间)
29 local stratum 10 ---本机不同步任何主机的时进,本机作为时间源
systemctl restart chronyd.service
timedatectl set-timezone Asia/Shanghai ---更改当前时区为东八区
在客户端:
vim /etc/chrony.conf
server 172.25.254.200 iburst ---本机立即同步200主机的时间
syetemctl restart chronyd.service
timedatectl set-timezone Asia/Shanghai ---更改当前时区为东八区
测试:
在客户端
[[email protected] ~]# chronyc sources -v
210 Number of sources=1
5.timedatectl命令
timedatectl ---管理系统时间
1)timedatectl status ---显示当前时间信息
local time 本地时间
universal time 国际时间
RTC time 硬件时间
Timezone 时区
2) timedatectl set-time ---设定当前时间
3) timedatectl set-timezone ---设定当前时区
4) timedatectl set-local-rtc 0|1 ---设定是否使用utc时间
5) timedatectl list-timezones ---查看支持的所有时区
6.journal
只能采集当前的,但是重启之后再次查看就只有此后的了。
1.journalctl ##日志查看工具
journalctl -n 3 ---查看最近3条日志
journalctl -p err ---查看错误日志
journalctl -o verbose ---查看日志的详细参数
journalctl --since ---查看从什么时候开始的日志
journalctl --until ---查看什么时候为止的日志
查看02:00到02:01的日志
2.如何使用systemd-journald保存日志
默认systemd-journald是不保存系统日志到硬盘的
那么关机后再次开机只能看到本次开机之后的日志
上一次关机之前的日志时无法看到的
mkdir /var/log/journal --- 新建/var/log/journal 目录
chgrp systemd-journal /var/log/journal ---将该目录的用户组更改为systemd-joural
chmod g+s /var/log/journal ---将该目录设置为在本目录中的文件用户组更改为本目录的用户组
killall -l systemd-journald ---清除以该用户组名的一类进程
ls /var/log/journal ---重启主机之后,查看日志