日志功能

  • 系统和程序的“记事本”
  • 记录系统和程序运行中发生的各种事件
  • 通过查看日志可以了解信息以及排除故障

  • 日志也是信息安全控制的依据

    内核级系统日志

  • 日志由系统服务rsyslog服务统一记录和管理

  • 日志消息采用文本格式记录
  • 主要记录的信息:事件发生的时间、主机、进程、内容(类似于:时间、地点、人物、发生的事情)
  • 系统日志:/var/log/messages

    常见日志文件介绍

    | 日志文件 | 用途 | | —- | —- | | /var/log/messages | 记录内核信息、各种服务的公共信息 | | /var/log/boot.log | 记录系统启动过程的各种信息 | | /var/log/cron | 记录计划任务(**crond)的相关信息 | | /var/log/maillog | 记录邮件收发的相关信息 | | /var/log/secure | 记录与访问限制相关的安全信息** |

日志分析

  • 通用分析工具:tail、tail -f、less、grep、 awk、sed 等过滤工具等文本浏览/检索命令

  • 专业日志分析工具:Webmin 系统管理套件,Webalizer、AWStats 日志统计套件,ELK 日志分析平台

    日志级别

  • Linux内核定义的事件紧急程度,数值越小越优先

    • 0: emerg #会导致主机系统不可用的情况
    • 1: alert #须马上采取措施解决问题
    • 2: crit #比较严重的情况
    • 3: err #运行出现错误
    • 4: warning #可能会影响系统功能的事件
    • 5: notice #不会影响系统但值得注意
    • 6: info #一般信息
    • 7: debug #程序或系统调试信息

      journalctl工具

  • 使用journalctl工具提取由systemd-journal 服务搜集的日志,主要包括内核/系统日志、服务日志

  • journalctl | grep 关键词
  • journalctl -u 服务名 -p 日志级别
  • journalctl -n 消息条数