system log 這一章其實要怎麼寫才會讓大家看的懂,其實我自己也不知道怎麼弄才會淺而易懂
所以囉..這一章的內容可能會有點凌亂,煩請同學見諒 (P.S.) 1.先看猜題,有空再看教學部份 2.內容上尚未完整,陸續補齊中.... 1.system log 的用途 系統紀錄檔主要用途當然是就是拿來了解 2. syslogd 的架構 設定檔: /etc/syslog.conf 用來設定哪些服務該被紀錄 預設的syslog.conf
CODE:
# Log all kernel messages to the console.
# Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don‘t log private authentication messages! *.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages # The authpriv file has restricted access. authpriv.* /var/log/secure # Log all the mail messages in one place. mail.* -/var/log/maillog # Log cron stuff cron.* /var/log/cron # Everybody gets emergency messages *.emerg * # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler # Save boot messages also to boot.log #紀錄開機時的相關紀錄 local7.* /var/log/boot.log # # INN # news.=crit /var/log/news/news.crit news.=err /var/log/news/news.err news.notice /var/log/news/news.notice /etc/logrotate.conf 用來設定紀錄檔週期及保留設定 以下圖的 mail.log 紀錄檔為例 預設會在 /var/log/ 中產生總數共五個 mail.log 紀錄檔 如果第一個紀錄檔的紀錄時間為1月1號星期天開始紀錄,則第一個紀錄檔為1月1號到1月7號 移動的狀態如下: 注意:紀錄檔預設是星期六晚上23點59分59秒開始置換移動紀錄檔 3.system log 的用法 a.能利用 syslogd 產生的紀錄計有 auth, authpriv:主要與認證有關的機制,例如 telnet, login, ssh 等需要認證的服務都是使用此一機制; cron:就是例行性命令 cron/at 等產生訊息記錄的地方; daemon:與各個 daemon 有關的訊息; kern:就是核心 (kernel) 產生訊息的地方; lpr:亦即是列印相關的訊息啊! mail:只要與郵件收發有關的訊息紀錄都屬於這個; news:與新聞群組伺服器有關的東西; syslog:就是 syslogd 這支程式本身產生的資訊啊! user, uucp, local0 ~ local7:與 Unix like 機器本身有關的一些訊息。 *上述之外的系統服務基本上是不可以使用 syslogd 來紀錄 4.分析log ================================================= 可能考題: PS: 1.請不要再太過自信,把本篇記好..考試時做不出來或忘記時立刻搜尋"關鍵字"!! 2.考題陸續補上,請常來看,恕不再提醒!! 可能考題A:查看Log 1.看mail log(郵件紀錄)
CODE:
tail -f /var/log/maillog
2.看系統紀錄
CODE:
tail -f /var/log/message
3.看最近登入的紀錄(全部)
CODE:
last
4.看最近30筆登入的紀錄
CODE:
last -30
可能考題B:解釋Log 1.看mail log(郵件紀錄)
CODE:
Dec 18 21:46:29 vh postfix/qmgr[3134]: DA050354162: from=<ilf@dukeglass.com>, size=3460, nrcpt=1 (queue active)
紀錄時間:12月18日 21點46分29秒 主機名稱:Vh 服務名稱:postfix 程序名稱:qmgr 程序代碼:DA050354162 程序動作:從ilf@dukeglass.com寄了一封信來,信件大小為3.46K,回應訊號成功 (queue active) Dec 18 21:46:29 vh postfix/local[26329]: DA050354162: to=<ihao@>, orig_to=<ihao@>, relay=local, delay=13, status=sent (delivered to file: /var/spool/virtual//ihao) 紀錄時間:12月18日 21點46分29秒 主機名稱:Vh 服務名稱:postfix 程序名稱:local 程序代碼:DA050354162 程序動作:信件傳送給ihao@,經由本地端傳送(local),延遲時間為13ms(從信件一到主機後開始計算),狀態:傳送病寫入至/var/spool/virtual//ihao Dec 18 21:46:29 vh postfix/qmgr[3134]: DA050354162: removed 紀錄時間:12月18日 21點46分29秒 主機名稱:Vh 服務名稱:postfix 程序名稱:qmgr 程序代碼:DA050354162 程序動作:將暫存的郵件搬移(移除) 1.看系統紀錄檔
CODE:
Dec 19 17:05:41 Vh sshd(pam_unix)[626]: session opened for user root by root(uid=0)
紀錄時間:12月19日 17點05分41秒 主機名稱:Vh 服務名稱:sshd 使用模組:pam_unix 程序動作:root成功登入主機 Dec 19 17:24:14 Vh sshd(pam_unix)[6687]: authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.0.1 user=root 紀錄時間:12月19日 17點24分14秒 主機名稱:Vh 服務名稱:sshd 使用模組:pam_unix 程序動作:認證失敗,企圖登入者為uid=0,eid=0,透過ssh連線,從10.0.0.1,使用者名稱為root |
|