LINUX_PII_CHAP16_V0.3

第二部分：系统管理第十六章：日志管理本章目标熟悉并掌握系统日志的查看及相关设置熟悉/proc目录中的内容Linux系统日志为了保证Linux系统正常运行，准确解决遇到的各种各样的系统问题，认真地读取日志文件是系统管理员的一项重要任务。黑客可以通过各种方式利用系统管理员的疏忽或系统、服务的漏洞入侵我们的系统。相应会产生部分系统记录日志，通过日志的查看，还是能找到一些蛛丝马迹。•日志的功能日志文件（Logfiles）是记录Linux中系统消息的文件不同的日志文件记载不同类型的信息，包括内核、服务、应用程序等日志文件对于诊断和解决系统中的问题很有帮助系统日志可以预警系统安全问题Chapter4系统中的日志文件•日志文件的位置日志文件保存在目录“/var/log/”中“/var/log/”目录中可以建立单独的子目录来存放特定程序的日志文件•日志文件的分类应用程序独立管理的日志文件受syslogd服务统一管理的日志文件syslogd服务的配置文件“/etc/syslog.conf”的内容可以显示syslogd服务管理的日志文件/var/log/dmesg核心启动日志/var/log/messages系统报错日志/var/log/maillog邮件系统日志/var/log/xferlogFTP服务用日志/var/log/secure安全信息/var/log/wtmp登录记录常用的系统日志•日志记录的不同策略：（磁盘空间、安全意识）立刻扔掉所有数据定期重新设置日志文件轮换日志文件，把该数据保留一定的时间将日志压缩并保存到磁带或其他永久性介质上。日志存储策略系统日志相关信息•系统日志相关内容由sysklogd的RPM进行安装#rpm-qa|grep“sysklogd”#rpm–qilsysklogd-1.4.1-26_EL•后台进程：/sbin/syslogd：服务相关日志/sbin/klogd:核心相关日志•配置文件：/etc/syslog.conf/etc/sysconfig/syslog•系统日志可以接受远端写入接收日志syslogd-r监听UDP514传送日志syslogd-h系统日志记录配置•配置syslogd和klogd，需要通过编辑/etc/syslog.conf语法：facilitylevelaction对象等级日志记录位置示例:mail.*/var/log/maillogauthpriv.*/var/log/secure系统日志记录配置•系统日志的对象包括：authpam_pwdb报告的认证活动authpriv特权信息如用户名在内的认证活动cronatd和crond的信息daemon与inetd守护进程有关的信息kern内核信息local本地回报信息lpr打印机mail邮件系统news新闻系统syslogsyslog自身信息user普通用户的信息uucp为uucp保留，并未使用local0~7自定义程序使用系统日志记录配置•等级包括：（由上至下为由低到高）none没有重要级debug除错所需info标准汇报notice普通，但重要的行为warning/warn警告信息err错误行为crit致命的行为alert需要立即处理emerg/panic系统无法继续运行注：如果希望使用确定的级别可使用两个运算符：!=通常用于排错，使用*（所有级别）高级syslogd配置•操作对象.等级：记录某一对象某一等级及以上等级的信息对象.=等级：记录某一对象某一等级的信息对象.=!等级：记录某一对象除某一等级以外的信息对象1,对象1.等级：记录多个对象同一个等级及以上等级的信息*.等级：记录所有对象某一等级及以上等级的信息对象.*：记录某一对象所有等级的信息•日志记录位置指定路径的文件远端的系统（@主机名）用户注：系统日志对象的等级越低，则需要记录的东西越多。反之，虽然记录的东西较少，但发生故障时越不容易判断问题所在。系统日志的维护•logrotate防止日志文件变得太大防止文件系统被撑满•logrotate被放在/etc/cron.daily/中每日自动执行•配置logrotate/etc/logrotate.conf（系统日志）/etc/logrotate.d（服务日志）注：默认情况下，系统日志每周轮换一次，放置一个月后被清扫•/proc目录是一个虚拟产生的文件系统，包含了来自正在运行着的核心的信息，多数文件大小为零。•用户可以通过cat/proc目录下的文件，来获得系统的信息•这些信息包括系统硬件、网络设置、内存使用，及其他的一些信息•/proc/sys目录下的文件，允许系统管理员更动，这些变动会直接影响当前核心•/proc目录在每次系统开机时由核心根据/etc/fstab自动在内存中创建，并不基于硬盘。•不可以cat/proc/kcore（内核镜像），会造成当前终端无法使用•系统中运行的每一个进程都有对应的一个目录在/proc下，以进程的PID号为目录名，它们是读取进程信息的接口。/proc目录/proc目录下的常用文件：/proc/interruptsIRQ设置/proc/cpuinfoCPU信息/proc/dmaDMA信息/proc/ioports输入输出设置/proc/meminfo系统内存使用状况/proc/loadavg系统负载平均值/proc/uptime系统运行时间和发呆时间/proc/versionLinux核心版本、创建主机、创建时间等/proc目录下的常用目录：/proc/scsiscsi设备信息/proc/ideide设备信息/proc/net网络状态与配置信息/proc/sys核心配置参数/proc/PID进程信息/proc目录内容/proc目录下的进程目录cmdline命令行参数environ环境变量值fd一个包含所有文件描述符的目录mem进程的内存被利用情况stat进程状态statusProcessstatusinhumanreadableformcwd当前工作目录的链接exeLinktotheexecutableoftheporcessmaps内存映像statm进程内存状态信息root链接此进程的root目录本章总结熟悉系统日志的相关配置及文件，在日后工作需要时，能够配置系统日志，以达到相关要求。熟悉/proc目录下的内容