第一部分 日志分析及管理
日志文件时用于记录 系统中各种运行消息的文件相当于 主机的”日记”。不
同的日志文件记载了不同类型的信息,例如, 内核消息、用户登录记录、程序错误等。
日志文件对于诊断和解决系统中的问题很有帮助,因为在 系统中运行的程序通常
会把系统消息和错误消息写入相应的日志文件,这样系统一旦出现问题就会“有据可查”。
此外,当主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹。
主要日志文件
内核及系统日志:这种日志数据由系统服务 统一管理,根据其主配置文件“
中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统有相
当一部分程序会把自己的日志文件交由 管理,因而这些程序使用的日志记录也
具有相似的格式。
用户日志:这种日志数据用于记录 系统用户登录及退出系统的相关信息,包括用
户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。
程序日志:有些应用程序会选择由自己来独立管理一份日志文件(而不是交给
服务管理),用于记录本程序运行过程中的各种事件信息。由于这些程序只负责管理
自己的日志文件,因此不同程序使用的日志格式可能会存在较大的差异。
系统本身和大部分服务器程序的日志文件默认情况下都放置在目录“中。一部
分程序共用一个日志文件,一部分程序使用单个日志文件,而有些大型服务器程序由于日
志文件不止一个,所以会在“目录中建立相应的子目录来存放日志文件,这样既保
证了日志文件目录的结构清晰,又可以快速地定位日志文件。有相当一部分日志文件只有
用户才有权限读取,这保证了相关日志信息的安全性。
例子列表查看“目录中的各种日志文件及子目录。
对于 系统中的一些常见日志文件,有必要熟悉其相应的用途,这样才能在需要的时候
更快地找到问题所在,即使解决各种故障。
记录 内核消息及各种应用程序的公共日志信息,包括启动、 错误、
网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日
志文件中获得相关的事件记录信息。
记录 计划任务产生的事件信息。
记录 系统在引导过程中的各种事件信息。
记录进入或发出系统的电子邮件活动。
最近几次成功登录事件和最后一次不成功登录事件。
记录系统中安装的各 包列表信息。
记录用户登录认证过程中的事件信息。
!记录每个用户登录、注销及系统启动和停机事件。
记录当前登录的每个用户的详细信息。
评论0
最新资源