? ? ? ?大部分linux发行版默认的日志守护进程为 syslog,位于 /etc/syslog 或 /etc/syslogd 或/etc/rsyslog.d,默认配置文件为 /etc/syslog.conf 或 rsyslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息。linux系统内核和许多程序会产生各种错误信息、警告信息和其他的提示信息,这些信息对管理员了解系统的运行状态是非常有用的,所以应该把它们写到日志文件中去。完成这个过程的程序就是syslog。syslog可以根据日志的类别和优先级将日志保存到不同的文件中。? ? ? ? ?例如,为了方便查阅,可以把内核信息与其他信息分开,单独保存到一个独立的日志文件中。默认配置下,日志文件通常都保存在“/var/log”目录下。
一、常用的日志文件
常用系统日志文件:
| 路径 | 说明 |
| /var/log/messages | 记录 Linux 内核消息及各种应用程序的公共日志信息 |
| /var/log/cron | 记录 crond 计划任务产生的事件信息 |
| /var/log/dmesg | 记录 Linux 操作系统在引导过程中的各种事件信息 |
| /var/log/maillog | 记录进入或发出系统的电子邮件活动 |
| /var/log/boot.log | 系统启动时的日志,包括自启动的服务 |
| /var/log/yum.log | 包含使用yum安装软件包的信息 |
| /var/log/audit目录 | 包含audit daemon的审计日志。例如:selinux开启的时候,这里就会有关于selinux审计的日志 |
| /var/log/sa/ 目录 | 包含每日由sysstat软件包收集的sar文件 |
常用用户日志文件:
| 路径 | 说明 |
| /var/log/lastlog | 记录每个用户最近的登录事件 |
| /var/log/secure | 记录用户认证相关的安全事件信息 |
| /var/log/wtmp | 记录每个用户登录、注销及系统启动和停机事件,加密文件 |
| /var/log/btmp | 记录失败的、错误的登录尝试及验证事件,加密文件 |
二、日志文件的格式
日志文件的格式包含以下 4 列:
-
事件产生的时间。
-
产生事件的服务器的主机名。
-
产生事件的服务名或程序名。
-
事件的具体信息。
三、将ssh服务日志单独存放
先在/var/log里创建个sshd.log文件
输入vim /etc/rstslog.conf打开配置文件,输入set nu显示编号,在74行下面添加一行规则:
再输入vim /etc/ssh/sshd_config打开ssh服务的配置文件,在32行下面新添加一条参数,完成后wq保存,之后一定要重启服务,命令systemctl restart {rsyslog,sshd}:
打开另一台机器,连接第一台机器:
返回第一台机器,在sshd服务的日志里记录了刚才机器的连接失败与成功,且所有ssh日志都保存在了sshd.log中
?
四、远程日志
输入vim /etc/rsyslog.conf,找到54行,在下方添加以下内容:
?返回接收日志的机器,输入vim /etc/rsyslog.conf,找到14-20行:
?完成后两台机器都需要重启服务
?
?
?