学习Linux-日志文件

¶1、常见的日志文件

/var/log/cron：crontab进程的日志
/var/log/dmesg:：记录系统开机内核检测过程中产生的各项信息
//var/log/lastlog:最近一次登陆系统信息
/var/log/maillog /var/log/mail/\*:记录邮件来往信息
/var/log/messages:记录系统发生错误信息
/var/log/secure：记录涉及需要账号密码的软件的登陆信息
/var/log/wtemp /var/log/faillog：记录wtemp（正确登陆系统者账户信息），faillog（错误登陆系统者账号信息）
/var/log/httpd/\* /var/log/news/\* /var/log/samba/\*:记载不同的网络服务自己产生的各项信息

¶2、日志文件所需相关服务与进程

产生方式：1、软件开发商自定义写入日志文件与相关格式，2、系统提供的日志文件管理服务来统一。

klogd:记录内核信息
syslogd：统一管理日志文件的服务
启动：ps aux | grep syslog（检查启动）； chkconfig --list syslog(开机启动)
一般格式：事件发生日期与时间；主机名；服务名称/函数名称；实际数据内容
配置文件：/etc/syslog.conf ；格式：服务名称【.=!】信息等级 信息记录的文件名或设备主机
信息等级：1，info（基本信息说明）;2,notice（注意信息）;3、warning（警示信息）;4、err（错误信息）;5、crit（临界点）;6、alert（警告）;7、emerg（疼痛级）

¶日志文件安全性设置

隐藏属性：chattr +a 强制不能删除，只能增加
日志文件服务器：将某一主机当做日志文件服务器，启动端口监听，进行文件传送。主机添加服务器地址，服务器修改syslog配置文件（-r）
logrotate：自动化处理日志文件容量与更新，将旧文件更改名称，新建空白文件，重新开始记录
配置文件：/etc/logrotate.conf /etc/logrotate.d/
logrotate配置文件语法：1、weekly(默认轮替周期)，2、rotate(保留日志文件)， 3、create(创建), 4、compress（压缩）， 5、include 绝对路径 6、设置的轮替命令{7、monthly(周期)， 8、minsize（文件容量）， 9、create(指定创建文件夹的用户，权限，所属)， 10、rotate（保留文件）}
syslog配置文件语法：1、文件名， 2、参数（用{}包括），3、sharedscripts...endscript(大格式)， 4、prerotate:启动logrotate之前进行的命令， 5、postrotate:启动logrotate之后启动的命令 
logrotate -v(显示模式)f（强制执行） logfile

¶分析日志文件

logwatch