Linux系统日志的简单分析

为了保证Linux系统正常运行、准确解决遇到的各种各样的系统问题，认真地读取日志文件是系统管理员的一项非常重要的任务。因为日志文件能够详细记录系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生的原因，或者在受到攻击和黑客入侵时追踪攻击者的踪迹。

Linux日志系统简介

日志对于系统的安全来说非常重要，它记录了系统每天发生的各种各样的事情，用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。日志主要的功能是审计和监测。它还可以实时地监测系统状态，监测和追踪侵入者。Linux系统一般有3个主要的日志子系统：

1)连接时间日志

连接时间日志由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp。login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。

 -rw-rw-r--. 1 root utmp 18816 Dec 16 20:22 wtmp -rw-------. 1 root utmp 1536 Dec 16 20:22 btmp 

2)进程日志

进程统计日志由进程执行或进程调用syslog执行，将进程运行状况和错误信息等记录到日志。

 -rw-r----- 1 mysql mysql 1896 Dec 16 06:51 mysqld.log -rw-------. 1 root root 28473 Dec 16 04:31 httpd -rw-r--r-- 1 root root 1288 Dec 16 06:10 cron 

3)错误日志

错误日志由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。

 # tail -n 10 /var/log/messages Dec 16 06:49:12 bogon yum[1082]: Installed: php-mysql-5.4.36-1.el6.remi.x86_64 Dec 16 06:49:12 bogon yum[1082]: Installed: httpd-itk-2.2.22-7.el6.x86_64 Dec 16 06:49:13 bogon yum[1082]: Installed: httpd-manual-2.2.15-39.el6.centos.noarch 

Linux常见的日志文件和常用命令

成功地管理任何系统的关键之一，是要知道系统中正在发生什么事。Linux 中提供了异常日志，并且日志的细节是可配置的。Linux 日志都以明文形式存储，所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本，来扫描这些日志，并基于它们的内容去自动执行某些功能。Linux 日志存储在 /var/log 目录中。这里有几个由系统维护的日志文件，但其他服务和程序也可能会把它们的日志放在这里。大多数日志只有root账户才可以读，不过修改文件的访问权限就可以让其他人可读。

配置Linux日志文件

日志也应该是用户注意的地方。不要低估日志文件对网络安全的重要作用，因为日志文件能够详细记录系统每天发生的各种各样的事件，用户可以通过日志文件检查错误产生的原因，或者在受到攻击、被入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是审核和监测。配置好的Linux的日志非常强大。对于Linux系统而言，所有的日志文件在/var/log下。

管理Linux日志文件工具

logrotate简介：如果服务器有大量的用户的话，这些日志文件的大小会很快地增加，在服务器硬盘不是非常充足的情况下，必须采取措施防止日志文件将硬盘撑爆。现代的Linux版本都有一个小程序，名为logrotate，用来帮助用户管理日志文件，它以自己的守护进程工作。logrotate周期性地旋转日志文件，可以周期性地把每个日志文件重命名成一个备份名字，然后让它的守护进程开始使用一个日志文件的新的拷贝。这就是为什么在/var/log/下看到许多诸如maillog、maillog.1、maillog.2、boot.log.1、boot.log.2之类的文件名。它由一个配置文件驱动，该文件是/etc/logrotate.conf。

Linux下常用日志分析工具

对于拥有大量账户、系统繁忙的Linux系统而言，其日志文件是极其庞大的，很多没有用的信息会将值得注意的信息淹没，给用户分析日志带来了很大的不便。现在有一些专门用于分析日志的工具，如Logcheck和Friends。Logcheck用来分析庞大的日志文件，过滤出有潜在安全风险或其他不正常情况的日志项目，然后以电子邮件的形式通知指定的用户。它是由Psionic开发的。