**
在Linux系統中,有三個主要的日誌子系統:
連接時間日誌: 由多個程序執行,把記錄寫入到/var/log/wtmp和/var/run/utmp,login等程序會更新wtmp和utmp文件,使系統管理員能夠跟蹤誰在何時登錄到系統。
進程統計: 由系統內核執行,當一個進程終止時,爲每個進程往進程統計文件中寫一個記錄。進程統計的目的是爲系統中的基本服務提供命令使用統計。
錯誤日誌: 由rsyslog守護程序執行,各種系統守護進程、用戶程序和內核通過rsyslog守護程序向文件/var/log/messages報告值得注意的事件。另外有許多Linux程序創建日誌。像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日誌。
日誌保存位置
默認位於:/var/log 目錄下
主要日誌文件介紹
內核及公共消息日誌:/var/log/messages
計劃任務日誌:/var/log/cron
系統引導日誌:/var/log/dmesg
郵件系統日誌:/var/log/maillog
用戶登錄日誌:/var/log/lastlog //最近的用戶登錄事件
/var/log/secure //用戶驗證相關的安全性事件
/var/log/wtmp //當前登錄用戶詳細信息
/var/run/utmp //用戶登錄、註銷及系統開、關機等事件
用戶日誌
有關當前登錄用戶的信息記錄在文件utmp中;utmp文件被各種命令使用,包括who、w、users和finger。
登錄和退出記錄在文件wtmp中;數據交換、關機以及重啓的信息也都記錄在wtmp文件中;wtmp文件被命令last和ac使用。
所有的記錄都包含時間戳。時間戳對於日誌來說非常重要,因爲很多攻擊行爲分析都是與時間有極大關係的。
這兩個文件是二進制文件,不能用諸如tail、cat之類的命令來進行訪問、操作。
查看和統計
內核及系統日誌
由系統服務 rsyslog 統一管理
軟件包:rsyslog-7.4.7-7.el7_0.x86_64
主要程序:/usr/sbin/rsyslogd
配置文件:/etc/rsyslog.conf
查看配置文件內容grep -v “^$” /etc/rsyslog.conf
日誌消息的級別
0 EMERG(緊急):會導致主機系統不可用的情況
1 ALERT(警戒):必須馬上採取措施解決的問題
2 CRIT(嚴重):比較嚴重的情況
3 ERR(錯誤):運行出現錯誤
4 WARNING(警告):可能會影響系統功能的事件
5 NOTICE(提醒):不會影響系統但值得注意
6 INFO(信息):一般信息
7 DEBUG(調試):程序或系統調試信息等
日誌記錄的一般格式
配置日誌服務器
第1步:安裝Apache服務yum -y install httpd*
第2步:安裝MariaDB數據庫yum -y install mariadb*
第3步:安裝PHP與其它相關軟件包
yum -y install php php-gd php-xml php-mysqlnd rsyslog-mysql
yum -y install libcurl-devel net-snmp-devel
第4步:設置數據庫開機運行並設置數據庫管理員root的密碼
第5步:設置Apache開機運行,並啓動它
第6步:創建測試頁,並測試
firefox http://10.0.0.11/test.php
配置日誌服務器數據庫
配置服務器rsyslogd的主配置文件
vim /etc/rsyslog.conf
配置防火牆,開放TCP與UDP514端口、TCP 3306端口、TCP80端口。若未禁用Selinux請設置在警告模式運行
配置日誌客戶端
vim /etc/rsyslog.conf
文檔最後面添加
編輯/etc/bashrc,將客戶端執行的所有命令寫入系統日誌/var/log/messages中,在文檔末尾添加export PROMPT_COMMAND=’{msg=$(history 1 | {read x y;echo KaTeX parse error: Expected 'EOF', got '}' at position 3: y;}̲);logger"[euid=(whoami)]": ( w h o a m i ) : [ ′ p w d ′ ] " (who am i):['pwd']" (whoami):[′pwd′]"msg";}’
驗證配置是否成功
客戶端
服務器
