科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Linux服务器日志管理详解(4)

Linux服务器日志管理详解(4)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹,他还可以实时的监测系统状态,监测和追踪侵入者等等。

作者:51CTO.COM 2007年10月31日

关键字: 系统日志 服务器 Linux

  • 评论
  • 分享微博
  • 分享邮件

  进程统计的一个问题是pacct文件可能增长的十分迅速。这时需要交互式的或经过cron机制运行sa命令来保持日志数据在系统控制内。sa命令报告、清理并维护进程统计文件。它能把/var/log/pacct中的信息压缩到摘要文件/var/log/savacct和/var/log/usracct中。这些摘要包含按命令名和用户名分类的系统统计数据。sa缺省情况下先读它们,然后读pacct文件,使报告能包含所有的可用信息。sa的输出有下面一些标记项:

  avio--每次执行的平均I/O操作次数

  cp--用户和系统时间总和,以分钟计

  cpu--和cp一样

  k--内核使用的平均CPU时间,以1k为单位

  k*sec--CPU存储完整性,以1k-core秒

  re--实时时间,以分钟计

  s--系统时间,以分钟计

  tio--I/O操作的总数

  u--用户时间,以分钟计

  例如:

  842 173.26re4.30cp 0avio 358k

  2 10.98re 4.06cp 0avio 299k find

  9 24.80re 0.05cp 0avio 291k ***other

  105 30.44re 0.03cp 0avio 302k ping

  104 30.55re 0.03cp 0avio 394k sh

  162 0.11re 0.03cp 0avio 413k security.sh*

  154 0.03re 0.02cp 0avio 273k ls

  56 31.61re 0.02cp 0avio 823k ping6.pl*

  2 3.23re 0.02cp 0avio 822k ping6.pl

  35 0.02re 0.01cp 0avio 257k md5sum

  97 0.02re 0.01cp 0avio 263k initlog

  12 0.19re 0.01cp 0avio 399k promisc_check.s

  15 0.09re 0.00cp 0avio 288k grep

  11 0.08re 0.00cp 0avio 332k awk

  用户还可以根据用户而不是命令来提供一个摘要报告。例如sa -m显示如下:

  885 173.28re4.31cp 0avk

  root879 173.23re4.31cp 0avk

  alias 3 0.05re 0.00cp 0avk

  qmailp 3 0.01re 0.00cp 0avk

  Syslog设备

  Syslog已被许多日志函数采纳,它用在许多保护措施中--任何程序都可以通过syslog 纪录事件。Syslog可以纪录系统事件,可以写到一个文件或设备中,或给用户发送一个信息。它能纪录本地事件或通过网络纪录另一个主机上的事件。

  Syslog设备依据两个重要的文件:/etc/syslogd(守护进程)和/etc/syslog.conf配置文件,习惯上,多数syslog信息被写到/var/adm或/var/log目录下的信息文件中(messages.*)。一个典型的syslog纪录包括生成程序的名字和一个文本信息。它还包括一个设备和一个优先级范围(但不在日之中出现)。

  每个syslog消息被赋予下面的主要设备之一:

  LOG_AUTH--认证系统:login、su、getty等

  LOG_AUTHPRIV--同LOG_AUTH,但只登录到所选择的单个用户可读的文件中

  LOG_CRON--cron守护进程

  LOG_DAEMON--其他系统守护进程,如routed

  LOG_FTP--文件传输协议:ftpd、tftpd

  LOG_KERN--内核产生的消息

  LOG_LPR--系统打印机缓冲池:lpr、lpd

  LOG_MAIL--电子邮件系统

  LOG_NEWS--网络新闻系统

  LOG_SYSLOG--由syslogd(8)产生的内部消息

  LOG_USER--随机用户进程产生的消息

  LOG_UUCP--UUCP子系统

  LOG_LOCAL0~LOG_LOCAL7--为本地使用保留

  Syslog为每个事件赋予几个不同的优先级:

  LOG_EMERG--紧急情况

  LOG_ALERT--应该被立即改正的问题,如系统数据库破坏

  LOG_CRIT--重要情况,如硬盘错误

  LOG_ERR--错误

  LOG_WARNING--警告信息

  LOG_NOTICE--不是错误情况,但是可能需要处理

  LOG_INFO--情报信息

  LOG_DEBUG--包含情报的信息,通常旨在调试一个程序时使用

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章