精编范文linux邮件日志范文word版 19页.docx
- 文档编号:7193122
- 上传时间:2023-01-21
- 格式:DOCX
- 页数:16
- 大小:27.54KB
精编范文linux邮件日志范文word版 19页.docx
《精编范文linux邮件日志范文word版 19页.docx》由会员分享,可在线阅读,更多相关《精编范文linux邮件日志范文word版 19页.docx(16页珍藏版)》请在冰豆网上搜索。
精编范文linux邮件日志范文word版19页
本文部分内容来自网络整理,本司不为其真实性负责,如有异议或侵权请及时联系,本司将立即删除!
==本文为word格式,下载后可方便编辑和修改!
==
linux邮件日志
篇一:
Linux系统中查看日志的常用命令
Linux系统中查看日志的常用命令
因为在日常的工作中,出问题的时候查看日志是每个管理员的习惯,作为初学者,为了以后的需要,我今天将下面这些查看命令共享给各位
cat
tail-f
日志文件说明
/var/log/message系统启动后的信息和错误日志,是RedHatLinux中最常用的日志之一
/var/log/secure与安全相关的日志信息
/var/log/maillog与邮件相关的日志信息
/var/log/cron与定时任务相关的日志信息
/var/log/spooler与UUCP和news设备相关的日志信息
/var/log/boot.log守护进程启动和停止相关的日志消息
系统:
#uname-a#查看内核/操作系统/CPU信息
#cat/etc/issue
#cat/etc/redhat-release#查看操作系统版本
#cat/proc/cpuinfo#查看CPU信息
#hostname#查看计算机名
#lspci-tv#列出所有PCI设备
#lsusb-tv#列出所有USB设备
#lsmod#列出加载的内核模块
#env#查看环境变量
资源:
#free-m#查看内存使用量和交换区使用量
#df-h#查看各分区使用情况
#du-sh<目录名>#查看指定目录的大小
#grepMemTotal/proc/meminfo#查看内存总量
#grepMemFree/proc/meminfo#查看空闲内存量
#uptime#查看系统运行时间、用户数、负载
#cat/proc/loadavg#查看系统负载
磁盘和分区:
#mount|column-t#查看挂接的分区状态
#fdisk-l#查看所有分区
#swapon-s#查看所有交换分区
#hdparm-i/dev/hda#查看磁盘参数(仅适用于IDE设备)
#dmesg|grepIDE#查看启动时IDE设备检测状况
网络:
#ifconfig#查看所有网络接口的属性
#iptables-L#查看防火墙设置
#route-n#查看路由表
#netstat-lntp#查看所有监听端口
#netstat-antp#查看所有已经建立的连接
#netstat-s#查看网络统计信息
进程:
#ps-ef#查看所有进程
#top#实时显示进程状态
用户:
#w#查看活动用户
#id<用户名>#查看指定用户信息
#last#查看用户登录日志
#cut-d:
-f1/etc/passwd#查看系统所有用户#cut-d:
-f1/etc/group#查看系统所有组
#crontab-l#查看当前用户的计划任务
服务:
#chkconfig–list#列出所有系统服务
#chkconfig–list|grepon#列出所有启动的系统服务程序:
#rpm-qa#查看所有安装的软件包
篇二:
Linux日志系统
一、Linux系统日志作用
日志对任何一个OS、应用软件、服务进程而言都是必不可少的模块。
日志文件对于系统和网络安全起到中大作用,同时具有审计、跟踪、排错功能。
可以通过日志文件监测系统与网络安全隐患,以及监测黑客入侵攻击路线。
二、日志分类
1.连接时间的日志
连接时间日志一般由/var/log/wtmp和/var/run/utmp(有关当前登录用户的信息记录在文件utmp中;登录进入和退出记录在文件wtmp中;数据交换、关机以及重启的机器信息也都记录在wtmp文件中。
)这两个文件记录,不过这两个文件无法直接cat查看,并且该文件由系统自动更新,可以通过如下:
w/who/finger/id/last/lastlog/ac进行查看
[root@51cto~]#who
roottty1201X-10-0622:
56
rootpts/0201X-10-0622:
26(218.192.87.4)
rootpts/1201X-10-0623:
41(218.192.87.4)
rootpts/3201X-10-0623:
18(218.192.87.4)
[root@51cto~]#w
01:
01:
02up2:
36,4users,loadaverage:
0.15,0.03,0.01
USERTTYFROMLOGIN@IDLEJCPUPCPUWHATroottty1-22:
561:
20m0.16s0.16s-bashrootpts/0218.192.87.422:
262:
05m0.18s0.18s-bashrootpts/1218.192.87.423:
410.00s0.41s0.00swrootpts/3218.192.87.423:
181:
38m0.03s0.03s-bash
[root@51cto~]#ac-p//查看每个用户的连接时间
u511.23
u550.04
root95.21//可以看到root连接时间最长吧51cto0.06
user13.93
total100.48
[root@51cto~]#ac-a//查看所有用户的连接时间
total100.49
[root@51cto~]#ac-d//查看用户每天的连接时间
Sep24total0.14
Sep25total14.60
Sep26total13.71
Sep27total21.47
Sep28total11.74
Sep29total6.60
Sep30total8.81
Oct1total9.04
Oct2total0.47//可以看到我国庆3、4、5号出去玩了Oct6total8.62
Todaytotal5.29
其他几个命令不做具体介绍了
2.进程监控日志
进程统计监控日志在监控用户的操作指令是非常有效的。
当服务器最近发现经常无故关机或者无故被人删除文件等现象时,可以通过使用进程统计日志查看:
[root@51cto~]#accton/var/account/pacct//开启进程统计日志监控
[root@51cto~]#lastcomm//查看进程统计日志情况
acctonSrootpts/10.00secsThuOct701:
20acctonrootpts/10.00secsThuOct701:
20acrootpts/10.00secsThuOct701:
14acrootpts/10.00secsThuOct701:
14freerootpts/10.00secsThuOct701:
10lastcommrootpts/10.00secsThuOct701:
09
bashFrootpts/10.00secsThuOct701:
09lastcommrootpts/10.00secsThuOct701:
09ifconfigrootpts/10.00secsThuOct701:
09lastcommrootpts/10.00secsThuOct701:
09lastcommrootpts/10.00secsThuOct701:
09lastcommrootpts/10.00secsThuOct701:
09acctonSrootpts/10.00secsThuOct701:
09
[root@51cto~]#accton//关闭进程统计日志监控
3.系统和服务日志
系统日志服务是由一个名为syslog的服务管理的,如一下日志文件都是由syslog日志服务驱动的:
/var/log/lastlog:
记录最后一次用户成功登陆的时间、登陆IP等信息/var/log/messages
/var/log/secure
登陆认证情况
/var/log/btmp:
记录Linux登陆失败的用户、时间以及远程IP地址/var/log/cron:
记录crond计划任务服务执行情况
...
[root@51cto~]#cat/var/log/lastlog
Lpts/0218.192.87.4
Lpts/1218.192.87.4
Lpts/1218.192.87.4
Lpts/0218.192.87.46
Lpts/0218.192.87.4
...
三、Linux日志服务介绍:
记录Linux操作系统常见的系统和服务错误信息:
Linux系统安全日志,记录用户和工作组变坏情况、用户
1.在Linux系统,大部分日志都是由syslog日志服务驱动和管理的,syslog服务由两个重要的配置文件控制管理,分别是/etc/syslog.conf主配置文件和
/etc/sysconfig/syslog辅助配置文件,/etc/init.d/syslog是启动脚本,这里主讲主配置文件/etc/syslog.conf:
/etc/syslog.conf语句结构:
[root@51cto~]#grep-v"#"/etc/syslog.conf//列出非#打头的每一行*.info;mail.none;authpriv.none;cron.none/var/log/messagesauthpriv.*/var/log/securemail.*-/var/log/maillogcron.*/var/log/cron*.emerg*
uucp,news.crit/var/log/spoolerlocal7.*/var/log/boot.log选择域(消息类型.错误级别)动作域
2.消息类型:
auth,authpriv,security;cron,daemon,kern,lpr,mail,mark,news,syslog,user,uucp,local0~local7.
错误级别:
(8
级)debug,info,notice,warning|warn;err|error;crit,alert,emerg|panic
动作域:
file,user,console,@remote_ip
举如上的/etc/syslog.conf文件三个例子:
*.info;mail.none;authpriv.none;cron.none/var/log/messages
表示info级别的任何消息都发送到/var/log/messages日志文件,但邮件系统、验证系统和计划任务的错误级别信息就除外,不发送(none表示禁止)
cron.*/var/log/cron表示所有级别的cron信息发到/var/log/cron文件
*.emerg*表示emerg错误级别(危险状态)的所有消息类型发给所有用户
四、Linux日志服务器配置
此服务器的配置非常简单,只是修改一个文件的一个地方,然后重启服务即可:
[root@51cto~]#grep-v"#"/etc/sysconfig/syslog
#-renablesloggingfromremotemachines
SYSLOGD_OPTIONS="-m0-r"//只要在这里添加“-r”就行咯
KLOGD_OPTIONS="-x"
SYSLOG_UMASK=077
[root@51cto~]#servicesyslogrestart
关闭内核日志记录器:
[确定]关闭系统日志记录器:
[确定]启动系统日志记录器:
[确定]启动内核日志记录器:
[确定]
对于发送消息到服务器的OS,只要在写/etc/syslog.conf主配置文件的时候,作用域为@server-ip就行了,比如针对218.192.87.24这台日志服务器,把一台ubuntu系统的所有info级别的auth信息发给日志服务器,那么对于ubuntu系统的/etc/syslog.conf文件最后一行添加auth.info@218.192.87.24就OK了
五、日志转储服务
系统工作到了一定时间后,日志文件的内容随着时间和访问量的增加而越来越多,日志文件也越来越大。
而且当日志文件超过系统控制范围时候,还会对系统性能造成影响。
转储方式可以设为每年转储、每月转储、每周转储、达到一定大小转储。
在Linux系统,经常使用“logrotate”工具进行日志转储,结合cron计划任务,可以轻松实现日志文件的转储。
转储方式的设置由“/etc/logrotate.conf”配置文件控制:
[root@51cto~]#cat/etc/logrotate.conf
#see"manlogrotate"fordetails//可以查看帮助文档#rotatelogfilesweekly
weekly//设置每周转储
#keep4weeksworthofbacklogs
rotate4//最多转储4次
#createnew(empty)logfilesafterrotatingoldones
篇三:
Linux日志管理篇
Linux日志管理篇操作系统的日志主要具有审计与监测的功能,通过对日志信息的分析,可以检查错误发生的原因,监测追踪入侵者及受到攻击时留下的痕迹,甚至还能实时的进行系统状态的监控。
有效利用日志信息并对其进行分析与实时的监控管理,对于系统的安全性具有极为重要的作用。
对于日志信息的管理通常采用两种方法,一种方法是不同服务器的日志信息都存放在各自系统内,系统管理员对各服务器进行分散管理。
另一种方法则是使用日志主机系统,这是一个从其他主机收集日志,并将它们存放在同一个地方的系统,很容易使来自多个主机的日志条目关联起来,对其进行统一管理、分析,甚至配合自动化工具进行实时的监控,有效提高管理的效率。
第一种方法往往是大多数系统管理员的常用的方法,这种传统的管理方法在服务器数量较少时还能勉强应付,但在处理多主机状况时却并非一种有效的方法。
本文主要讲述二种日志管理方法,探寻一种提高系统管理效率的途径。
一、日志主机系统的部署
日志主机系统包括日志主机及各主机系统两个部分,其中日志主机相当于服务器端,而各主机系统相当于客户端,将日志信息实时的传送到日志主机上来。
1.Linux系统中系统日志服务器的安装对管理员来说,日志非常有用,但大量的日志又很麻烦。
当一些事件运行错误时,日志可以对故障排除起到至关重要的作用,特别是在安全性相关问题上。
但是如果攻击者危害到你的主机,日志将会告诉你,对于主机来说这很有用;你需要给数据中心发信息。
保护日志非常重要,一个中央日志服务器会更容易管理、分析和查找它们。
针对这一点,我将向你展示如何把多个主机的系统日志集中收集到一个主机上来管理,即Linux上的中央系统日志服务器。
首先,所有集中的系统日志服务器都应该建成一个安全和硬化的主机。
在主机上没有一点关于保护和集中化你们日志方面。
其次,你怎样能从你的主机上获得日志呢?
让我们开始安装中央系统日志服务器。
我将举例说明如果使用rSyslog,实际的标准Linux系统日志。
Ubuntu和红帽常使用它,并且通过文件/etc/rsyslog.conf进行管理。
文件中包含许多指定的特殊系统日志:
有的是控制台方面的,有的是文件方面或其它主机的。
首先,我们需要载入合适的TCP和UDP插件以支持接收系统日志。
把下面的代码添加到rsyslog.conf的头部:
$modloadimtcp
$modloadimudp
$InputTCPServerRun10514
$UDPServerRun514
载入的这两个模块能支持监听TCP和UDP的端口,并且指定哪个端口来接受事件,在这种情况下,使用TCP的10514端口和UDP的514端口。
你需要确认一下本地防火墙(在你的主机和中央系统日志服务器之间的防火墙)
下面我们需要指定一些规则来告诉rSyslog在哪放输入事件。
如果你不添加任何规则,输入事件将按照本地的规则进行处理,并且与本地主机的事件交织在一起。
我们需要在上面添加节之后和本地处理系统日志之前来正确的指定这个规则,例如:
if$fromhost-ipisequal'192.168.0.2'then/var/log/192.168.0.2.log
&~
这里我们说的每一个来自于192.168.0.2的系统日志都应该保存在
/var/log/192.168.0.2.log文件中。
&~这个符号是非常重要的,因为它告诉rSyslog将停止处理消息。
如果你把它忘写了,消息将越过下一个规则,并且继续处理。
在这一规则中还有其他的变量。
例如:
if$fromhost-ipstartswith'192.168.'then/var/log/192.168.log
&~
这里我们用192.168.*替代了以这个为开始的所有IP地址,写入到
/var/log/192.168.log文件中。
你还可以看到一些其它的过滤。
你将需要重启这个rsyslog服务来激活我们所做的新的配置:
$sudoservicersyslogrestart
现在,对于发送方的主机,我们还需要对文件rsyslog.conf进行一些更改,在文件的头部,添加下面这行:
*.*@@192.168.0.1:
10514
这是发送的所有事件,来自于所有源代码和所有重要级别(用*.*),通过TCP协议传给IP地址为192.168.0.1的10514端口。
你可是用你所在环境的地址来替换这个IP地址。
要启用此配置,你将需要重启主机上的rSyslog。
你可以通过SSL/TLS更进一步地发送你的系统日志。
如果你在互联网上或其它网络间传输系统日志,这也没什么坏处,你可能会发现这个的简单说明。
现在,如果给你的配置管理系统(如果不使用这个,你可以试一试Puppet或Cfengine工具)添加这个配置,然后,您可以用适当的系统日志来有效地配置每台主机,以确保你的日志将被发送到中央系统日志服务器。
2.日志主机的部署
日志主机采用一台RHEL5的服务器(假设其主机名为loghost),日志收集软件采用Linux平台上的Syslog,Syslog一般都随Linux系统安装时已经安装,对于我们部署整个系统提供了极大的便利性,因此在此不对其安装步骤进行阐述,仅讲述其配置方法。
Syslog既可作为客户端,也可作为服务器端,并且支持远程的日志收集。
其配置文件为/etc/sysconfig/syslog,要配置其作为服务器端,需对此配置文件相应部分改为如下所示:
SYSLOGD_OPTIONS=“-r-m0”,“-r”选项表示使syslog接收客户端的远程日志信息。
接下来重启Syslog服务器端使配置生效:
#servicesyslogdrestart
由于Syslog采用514端口监听来自各客户端的日志信息,因此需要在日志主机的防火墙上开放514端口,以iptables为例,对特定网段开放514端口:
/sbin/iptables-AINPUT-ieth0-ptcp-s192.168.0.0/16-dport514-syn-jACCEPT
3.客户端的部署
3.1Linux平台下客户端的部署
在Linux平台下依然选择syslog作为客户端进行部署,此时此配置文件为
/etc/syslog.conf,其默认配置为(仅以/var/log/message日志为例):
*.info;mail.none;authpriv.none;cron.none/var/log/messages/var/log/message即Sysolg存放系统日志的绝对路径,将此值替换为日志主机名即可。
例子如下:
*.info;mail.none;authpriv.none;cron.none@loghost
根据上述配置,当Syslog重启使用配置生效后,客户端服务器的日志信息将会实时的传送到日志主机的/var/log/message文件里,对各服务器的日志信息进行统一的管理。
使用如下命令重启Syslog服务使配置生效:
#servicesyslogdrestart
依上述方法将其他系统日志信息(如/var/log/secure)导入到日志主机上。
笔者建议,采用添加配置而非修改的方法,同时在本地及日志主机上保存系统日志。
3.2Windows平台下客户端的部署
在Windows平台下采用软件evtsys进行客户端的部署,其下载链接
为:
http:
//engineering.purdue.edu/ECN/Resources/Documents/UNIX/evtsys/evtsys_exe.zip解开后得到两个文件:
evtsys.ext和evtsys.dll。
将这两个文件放到C:
\WINDOWS\system32目录下,在命令行状态下运行如下命令进行安装:
%systemroot%\system32\evtsys–i-hloghost
当安装成功后,可查看服务列表看到相应的信息,如图1所示。
卸载evtsys的命令为:
%systemroot%\system32\evtsys-u
更改日志主机名的命令为:
Netstopevtsys//停止evtsys
evtsys-u//卸载evtsys
evtsys-l-hnewloghost//指定新的日志主机名
netstartevtsys//启动evtsys
二、日志主机的自动日志分析与监控
当整个系统部署好后,可以从日志主机里验证各服务器是否将日志信息发送到了日志主机上。
以/var/log/message为例,打开此文件,当看到具有不同主机名字的日志信息标志着日志主机已经正常工作,节选部分日志如下:
Jan908:
39:
38dogcrond(pam_unix)[4528]:
ses-sionopenedforuserrootby(uid=0)Jan908:
39:
36dogcrond(pam_unix)[4528]:
sessionclosedforuserroot
Jan908:
39:
40pandacrond(pam_unix)[20296]:
ses-sionopenedforuserrootby(uid=0)Jan908:
39:
40pandacrond(pam_unix)[20296]:
ses-sionclosedforuserrootJan908:
39:
53applastmessagerepeated8times
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 精编范文linux邮件日志范文word版 19页 精编 范文 linux 邮件 日志 word 19