system log
[color=red][/color]這一章其實要怎麼寫才會讓大家看的懂,其實我自己也不知道怎麼弄才會淺而易懂
所以囉..這一章的內容可能會有點凌亂,煩請同學見諒
[color=red][b](P.S.)[/b][/color]
[color=red][b]1.先看猜題,有空再看教學部份[/b][/color]
[color=red][b]2.內容上尚未完整,陸續補齊中....[/b][/color]
1.system log 的用途
系統紀錄檔主要用途當然是就是拿來了解
2. syslogd 的架構
設定檔:
/etc/syslog.conf
[color=red]用來設定哪些服務該被紀錄[/color]
預設的syslog.conf[code]# Log all kernel messages to the console.
# Logging much else clutters up the screen.
#kern.* /dev/console
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.* -/var/log/maillog
# Log cron stuff
cron.* /var/log/cron
# Everybody gets emergency messages
*.emerg *
# Save news errors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler
# Save boot messages also to boot.log
#紀錄開機時的相關紀錄
local7.* /var/log/boot.log
#
# INN
#
news.=crit /var/log/news/news.crit
news.=err /var/log/news/news.err
news.notice /var/log/news/news.notice[/code]
/etc/logrotate.conf
[color=red]用來設定紀錄檔週期及保留設定[/color]
以下圖的 mail.log 紀錄檔為例
預設會在 /var/log/ 中產生總數共五個 mail.log 紀錄檔
[img]http://www.ihao.org/php/web/syslog/syslog1.jpg[/img]
如果第一個紀錄檔的紀錄時間為1月1號星期天開始紀錄,則第一個紀錄檔為1月1號到1月7號
移動的狀態如下:
[color=red]注意:紀錄檔預設是星期六晚上23點59分59秒開始置換移動紀錄檔[/color]
[img]http://www.ihao.org/php/web/syslog/syslog2.jpg[/img]
3.system log 的用法
[color=blue]a.能利用 syslogd 產生的紀錄計有[/color]
[color=red]auth, authpriv[/color]:主要與認證有關的機制,例如 telnet, login, ssh 等需要認證的服務都是使用此一機制;
[color=red]cron[/color]:就是例行性命令 cron/at 等產生訊息記錄的地方;
[color=red]daemon[/color]:與各個 daemon 有關的訊息;
[color=red]kern[/color]:就是核心 (kernel) 產生訊息的地方;
[color=red]lpr[/color]:亦即是列印相關的訊息啊!
[color=red]mail[/color]:只要與郵件收發有關的訊息紀錄都屬於這個;
[color=red]news[/color]:與新聞群組伺服器有關的東西;
[color=red]syslog[/color]:就是 syslogd 這支程式本身產生的資訊啊!
[color=red]user, uucp, local0 ~ local7[/color]:與 Unix like 機器本身有關的一些訊息。
[color=red][b]*上述之外的系統服務基本上是不可以使用 syslogd 來紀錄[/b][/color]
4.分析log
=================================================
可能考題:
PS:
[color=red]1.請不要再太過自信,把本篇記好..考試時做不出來或忘記時立刻搜尋"關鍵字"!!
2.考題陸續補上,請常來看,恕不再提醒!![/color]
[color=#0000ff]可能考題A:查看Log[/color]
[color=#0000ff]1.看mail log(郵件紀錄)[/color][code]tail -f /var/log/maillog[/code][color=#0000ff]2.看系統紀錄[/color][code]tail -f /var/log/message[/code][color=#0000ff]3.看最近登入的紀錄(全部)[/color][code]last[/code][color=#0000ff]4.看最近30筆登入的紀錄[/color][code]last -30[/code][color=#0000ff]可能考題B:解釋Log[/color]
[color=#0000ff]1.看mail log(郵件紀錄)[/color][code]Dec 18 21:46:29 vh postfix/qmgr[3134]: DA050354162: from=<
[email protected]>, size=3460, nrcpt=1 (queue active)
紀錄時間:12月18日 21點46分29秒
主機名稱:Vh
服務名稱:postfix
程序名稱:qmgr
程序代碼:DA050354162
程序動作:從
[email protected]寄了一封信來,信件大小為3.46K,回應訊號成功 (queue active)
Dec 18 21:46:29 vh postfix/local[26329]: DA050354162: to=<
[email protected]>, orig_to=<
[email protected]>, relay=local, delay=13, status=sent (delivered to file: /var/spool/virtual/ihao.org/ihao)
紀錄時間:12月18日 21點46分29秒
主機名稱:Vh
服務名稱:postfix
程序名稱:local
程序代碼:DA050354162
程序動作:信件傳送給
[email protected],經由本地端傳送(local),延遲時間為13ms(從信件一到主機後開始計算),狀態:傳送病寫入至/var/spool/virtual/ihao.org/ihao
Dec 18 21:46:29 vh postfix/qmgr[3134]: DA050354162: removed
紀錄時間:12月18日 21點46分29秒
主機名稱:Vh
服務名稱:postfix
程序名稱:qmgr
程序代碼:DA050354162
程序動作:將暫存的郵件搬移(移除)[/code][color=#0000ff]1.看系統紀錄檔[/color][code]Dec 19 17:05:41 Vh sshd(pam_unix)[626]: session opened for user root by root(uid=0)
紀錄時間:12月19日 17點05分41秒
主機名稱:Vh
服務名稱:sshd
使用模組:pam_unix
程序動作:root成功登入主機
Dec 19 17:24:14 Vh sshd(pam_unix)[6687]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.0.1 user=root
紀錄時間:12月19日 17點24分14秒
主機名稱:Vh
服務名稱:sshd
使用模組:pam_unix
程序動作:認證失敗,企圖登入者為uid=0,eid=0,透過ssh連線,從10.0.0.1,使用者名稱為root[/code]