系統日志是記錄系統中硬件、軟件和系統問題的信息,同時還可以監控系統中發生的事件。用戶可以通過它來檢查錯誤發生的的原因,或者尋找受到攻擊時攻擊者留下的痕跡。
Windows的事件查看器就是一個日志系統。Linux的日志系統則是通過安裝sysklogd這個軟件包形成了兩個服務:
/sbin/klogd 針對硬件(針對內核所產生的,很多和硬件相關)
/sbin/syslogd 針對軟件(系統的日志服務器)
查看硬件方面的日志:
[root@localhost ~]# dmesg |grep -i cpu 查看CPU的相關信息
[root@localhost ~]# dmesg |grep -i mem 查看內存的相關信息
[root@localhost ~]# dmesg |grep -i eth0 查看eth0的相關信息
網絡設備:路由器、防火牆、交換機等都有自己的日志能力。
日志的作用是:讓我們及時了解系統的變化,從而幫助我們做一些診斷。
日志的分類文件:/etc/syslog.conf
從man手冊中可以看出,日志分類文件的第一列表示日志的類型以及日志的級別,第二列表示對第一列所指定的日志采取的動作。
通常采取的動作由三種:
1、將指定類型日志寫到文件中(文件名)
2、將指定類型日志發給每個當前登錄到系統的用戶(*)
3、將指定類型日志發到別的日志服務器上(@地址)
在linux上實現日志服務器:
1、開啟日志服務
系統默認已經開啟。
2、編輯配置文件
添加-r選項,表示允許記錄來自於別的主機的日志。
3、重啟服務
至此,日志服務器就配置完成了。接下來打開另外一個linux虛擬機,作為應用服務器,也就是日志架構中的客戶端,進行測試。
4、測試:
在客戶端編輯 /etc/syslog.conf文件,修改動作列為:@日志服務器地址。並重啟日志服務。
在服務器上觀察客戶端發送的日志信息。
可以看到服務器端顯示了客戶端的日志信息。
Windows實現日志服務器:需要安裝一個第三方軟件 Kiwi_Syslogd 日志服務器。