Syslog介紹.

Presentation on theme: "Syslog介紹."— Presentation transcript:

1 Syslog介紹

2 Outline 何謂登錄檔 登錄檔的重要性 常見的登錄檔檔名 登錄檔相關的服務與程式 DEMO

3 何謂登錄檔 記錄系統活動資訊的幾個檔案，例如：何時、 何地 (來源 IP)、何人 (什麼服務名稱)、做 了什麼動作 (訊息登錄)。
換句話說就是：記錄系統在什麼時候由哪個 程序做了什麼樣的行為時，發生了何種的事 件等等。 通常這些登錄檔只有root 可以進行視察的功 能！ 由於這些記錄的工作內容對於系統的資訊太詳細，若被取得將可能影響到系統的安全性 3

4 登錄檔的重要性 解決系統方面的錯誤： 解決網路服務的問題： 記錄登錄資訊：
系統會將硬體偵測過程記錄在登錄檔內，透過查詢登 錄檔就能夠瞭解系統作了甚麼事。 解決網路服務的問題： 網路的各種服務都會被寫入特別的登錄檔， 只要查詢 登錄檔就會知道出了什麼差錯。 例如：郵件伺服器(sendmail)，可查詢 /var/log/maillog。 記錄登錄資訊： 例如：WWW 服務 (apache 軟體) 在某個時刻流量特別 大，可以透過登錄檔去找出該時段是哪些 IP 在連線 與查詢的網頁資料為何，就能夠知道原因。

5 Linux 常見的登錄檔檔名 /var/log/boot.log：記錄開機或者是一些服 務啟動的時候，所顯示的啟動或關閉訊息。
/var/log/dmesg： 記錄系統在開機的時候核心偵測過程所產生 的各項資訊。 /var/log/faillog:錯誤登入時所使用的帳號 資訊 。 /var/log/messages：系統發生的錯誤訊息 (或者是重要的資訊)幾乎都會記錄在這個檔 案中。

6 Linux 常見的登錄檔檔名(cont.) /var/log/secure：記錄登入系統存取資料的 檔案，例如 pop3, ssh, telnet, ftp 等都 會記錄在此檔案中。 /var/log/httpd/, /var/log/news/, /var/log/mysql.log, /var/log/samba/：不 同的網路服務會使用個別的登錄檔案來記載。 /var/log/maillog 或 /var/log/mail/：紀 錄郵件存取（sendmail與pop3）的使用者記 錄。 /var/log/cron：例行性工作排程的登錄檔。

7 Linux 常見的登錄檔檔名(cont.) /var/log/lastlog：可以記錄系統上面所 有的帳號最近一次登入系統時的相關資訊。
/var/log/wtmp：記錄登入者的訊息資料 (檔案已經被編碼過) 檔案內容查閱指令：last [-option] last 顯示所有系統user login記錄 last –a 顯示所有系統user login記錄，並將 hostname 放在最後一個欄位 last –100 顯示最後100個系統user login記錄 last woody 顯示由woody login 記錄

8 klogd： syslogd： logrotate： 登錄檔相關的服務與程式 主要在進行登錄檔的輪替功能。 主要登錄核心產生的各項資訊。
主要登錄系統與網路等服務的訊息。 logrotate： 主要在進行登錄檔的輪替功能。

9 syslogd ：記錄登錄檔的服務 查詢syslog是否開啟 查詢啟動哪些服務(run level)
ps aux | grep syslog 查詢啟動哪些服務(run level) ntsysv chkconfig --list syslog -- 多字元 ex: chkconfig --list - 單一字元 ex: ifconfig -a

10 Syslog 設定檔 /etc/syslog.conf

11 Syslog 設定檔(cont.) 服務名稱：例如 mail, http, news, cron, at 等等的服務名稱；
訊息等級：總共分成下列幾種等級： info ： 提示一些訊息資料； notice ： 注意！需要比較留意的訊息； waring 或 warn ： 警示的訊息，以上三個訊息都還是沒有錯誤的情況 Err 或 error ： 錯誤訊息出現！該要檢驗錯誤的問題發生原因了； crit ： 臨界點了。 alert ： 錯誤訊息一再地警告警告。 emerg 或 panic ： 系統已經進入混亂的階段。 特殊等級：例如 debug （顯示較多的資訊）及 none （不要記錄該服務 的內容） 存放或顯示地點：通常我們使用的都是記錄的檔案 檔案的絕對路徑：通常就是放在 /var/log 裡頭的檔案啦！ 印表機或其他：例如 /dev/lp0 這個印表機裝置 使用者名稱：顯示給使用者囉！

12 DEMO:自行增加登錄檔 新增登錄檔案 重新啟動服務 檢查新增的登錄檔案是否存在 vim /etc/syslog.conf
#add vsftp log by kjclark ftp.notice /var/log/ftp.notice 重新啟動服務 /etc/init.d/syslog restart 檢查新增的登錄檔案是否存在 ls /var/log/

13 DEMO:登錄檔訊息等級差異實作 ftp 帳號錯誤 帳號正確密碼錯誤 帳號正確密碼正確

14 logrotate 的設定檔 /etc/logrotate.d/ /etc/logrotate.conf
目錄資料夾，裡面所有檔案會主動寫入參 數檔案中 /etc/logrotate.conf 主要參數檔案

15 logrotate 的設定檔 vim /etc/logrotate.conf vim /etc/logrotate.d/syslog

16 logrotate 的設定檔

17 EXERCISES: 利用Mail一封信給自己或同學，並在 syslog中找出紀錄。
嘗試修改logrotate的rotate參數並觀察 數字由大變小或由小變大時/var/log/的 變化。 安裝vsftp並練習demo中的實作。

18 Reference Quick HOWTO : Ch05 : Troubleshooting Linux with syslog
og.php#syslogd_conf /index.html