Linux系统或类Linux系统在基础设施建设中可以说是用的非常广泛,系统的日志也是多种多样,有内核日志、有登陆日志、有用户命令日志、有定时工作计划日志等等,本文就linux日志做了一些简单的总结,以便在日常巡检、IT审计、应急响应、攻击溯源过程中能够快速的定位所要查询的日志。
1、先说一下日志产生的方式
软件自定义的日志功能
一些软件,常见的如中间件,自带了日志功能,可以自定义产生日志的格式以及写入日志的目标文件;
syslog服务处理日志信息
由linux系统的日志服务syslog来统一管理应用程序日志,只要应用调用syslog提供日志接口(syslog函数、openlog函数、closelog函数),syslog就会将接收到的日志根据配置文件(syslog.conf)来生成日志文件。
2、读懂syslog配置文件syslog.conf
如下图,syslog.conf每条配置包含三个参数,格式为:facility.priority action
facility:日志类型,可以理解为哪些进程或哪些功能auth # 认证相关的authpriv # 权限,授权相关的cron # 任务计划相关的daemon # 守护进程相关的kern # 内核相关的lpr # 打印相关的mail # 邮件相关的mark # 标记相关的news # 新闻相关的security # 安全相关的,与auth 类似syslog # syslog自己的user # 用户相关的local0 到 local7 # 用户自定义日志类型priority:日志优先级debug # 程序或系统的调试信息info # 一般信息notice # 注意级warning/warn # 告警信息err/error # 错误信息crit # 比较严重的alert # 警戒级,必须马上处理的emerg/oanic # 致命级,会导致系统不可用的* # 表示所有的日志级别none # 跟* 相反,表示啥也没有action:动作域,可以理解满足facility.priority后,日志应该记录到哪个文件系统上的绝对路径 # 如:/var/log/xxx| # 管道 通过管道送给其他的命令处理终端 # 终端 如:/dev/console@HOST # 发送到远程主机 如: @1.1.1.1用户 # 系统给系统用户* # 发送给登录到系统上的所有用户
原文始发于微信公众号(菜鸟小新):linux日志怎么看?
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论