Presentation is loading. Please wait.

Presentation is loading. Please wait.

Adviser :Quincy-Wu Speaker :Kai-Jia Chung Date :

Similar presentations


Presentation on theme: "Adviser :Quincy-Wu Speaker :Kai-Jia Chung Date :"— Presentation transcript:

1 Adviser :Quincy-Wu Speaker :Kai-Jia Chung Date :2010-07-08
SYSLOG Adviser :Quincy-Wu Speaker :Kai-Jia Chung Date :

2 何謂登錄檔 記錄系統活動資訊的幾個檔案, 例如:何時、何 地 (來源 IP)、何人 (什麼服務名稱)、做了什麼 動作 (訊息登錄)。
換句話說就是:記錄系統在什麼時候由哪個程序 做了什麼樣的行為時,發生了何種的事件等等。 通常這些登錄檔只有root 可以進行視察的功能! 由於這些記錄的工作內容對於系統的資訊太詳細,若被取得將可能影響到系統的安全性

3 登錄檔的重要性 解決系統方面的錯誤: 系統會將硬體偵測過程記錄在登錄檔內,透過查詢登錄檔就能夠瞭 解系統作了甚麼事。 解決網路服務的問題:
網路的各種服務都會被寫入特別的登錄檔, 只要查詢登錄檔就會 知道出了什麼差錯。 例如:郵件伺服器(sendmail),可查詢/var/log/maillog。 記錄登錄資訊: 例如:WWW 服務 (apache 軟體) 在某個時刻流量特別大,可以透 過登錄檔去找出該時段是哪些 IP 在連線與查詢的網頁資料為何, 就能夠知道原因。

4 Linux 常見的登錄檔檔名 /var/log/boot.log:記錄開機或者是一些服務啟動 的時候,所顯示的啟動或關閉訊息。
/var/log/dmesg: 記錄系統在開機的時候核心偵測過程所產生的各項資 訊。 /var/log/faillog:錯誤登入時所使用的帳號資訊 。 /var/log/messages:系統發生的錯誤訊息 (或者是 重要的資訊)幾乎都會記錄在這個檔案中。

5 Linux 常見的登錄檔檔名(cont.) /var/log/secure:記錄登入系統存取資料的檔案, 例如 pop3, ssh, telnet, ftp 等都會記錄在此檔案 中。 /var/log/httpd/, /var/log/news/, /var/log/mysql.log, /var/log/samba/:不同的網 路服務會使用個別的登錄檔案來記載。 /var/log/maillog 或 /var/log/mail/:紀錄郵件存 取(sendmail與pop3)的使用者記錄。 /var/log/cron:例行性工作排程的登錄檔。

6 Linux 常見的登錄檔檔名(cont.) /var/log/lastlog:可以記錄系統上面所有的帳號最 近一次登入系統時的相關資訊。
/var/log/wtmp:記錄登入者的訊息資料(檔案已經被 編碼過) 檔案內容查閱指令:last [-option] last 顯示所有系統user login記錄 last –a 顯示所有系統user login記錄,並將hostname 放 在最後一個欄位 last –100 顯示最後100個系統user login記錄 last woody 顯示由woody login 記錄

7 登錄檔相關的服務與程式 klogd: syslogd: logrotate: 主要在進行登錄檔的輪替功能。 主要登錄核心產生的各項資訊。
主要登錄系統與網路等服務的訊息。 logrotate: 主要在進行登錄檔的輪替功能。

8 syslogd :記錄登錄檔的服務 查詢syslog是否開啟 ps aux | grep syslog
查詢啟動哪些服務(run level) ntsysv chkconfig --list syslog -- 多字元 ex: chkconfig --list - 單一字元 ex: ifconfig -a

9 Syslog 設定檔 /etc/syslog.conf

10 Syslog 設定檔(cont.) 服務名稱:例如 mail, http, news, cron, at 等等的服務名稱;
訊息等級:總共分成下列幾種等級: info : 提示一些訊息資料; notice : 注意!需要比較留意的訊息; waring 或 warn : 警示的訊息,以上三個訊息都還是沒有錯誤的情況 Err 或 error : 錯誤訊息出現!該要檢驗錯誤的問題發生原因了; crit : 臨界點了。 alert : 錯誤訊息一再地警告警告。 emerg 或 panic : 系統已經進入混亂的階段。 特殊等級:例如 debug (顯示較多的資訊)及 none (不要記錄該服務的內容) 存放或顯示地點:通常我們使用的都是記錄的檔案 檔案的絕對路徑:通常就是放在 /var/log 裡頭的檔案啦! 印表機或其他:例如 /dev/lp0 這個印表機裝置 使用者名稱:顯示給使用者囉!

11 DEMO:自行增加登錄檔 新增登錄檔案 重新啟動服務 檢查新增的登錄檔案是否存在 vim /etc/syslog.conf
#add vsftp log by kjclark ftp.notice /var/log/ftp.notice 重新啟動服務 /etc/init.d/syslog restart 檢查新增的登錄檔案是否存在 ls /var/log/

12 DEMO:登錄檔訊息等級差異實作 ftp 帳號錯誤 帳號正確密碼錯誤 帳號正確密碼正確

13 logrotate 的設定檔 /etc/logrotate.d/ /etc/logrotate.conf
目錄資料夾,裡面所有檔案會主動寫入參數檔案中 /etc/logrotate.conf 主要參數檔案

14 logrotate 的設定檔 vim /etc/logrotate.conf vim /etc/logrotate.d/syslog

15 logrotate 的設定檔

16 EXERCISES: 利用Mail一封信給自己或同學,並在syslog中找 出紀錄。
嘗試修改logrotate的rotate參數並觀察數字由大變 小或由小變大時/var/log/的變化。 安裝vsftp並練習demo中的實作。

17 Reference Quick HOWTO : Ch05 : Troubleshooting Linux with syslog
hp#syslogd_conf


Download ppt "Adviser :Quincy-Wu Speaker :Kai-Jia Chung Date :"

Similar presentations


Ads by Google