web安全day28：一文读懂Linux日志，运维工程师必备

常用日志

boot.log

lastlog

message

secure

btmp

wtmp

utmp

日志配置文件

MODULES

GLOBALS

RULES

转发规则

日志级别

触发事件测试

检查日志

日志格式

Linux系统拥有非常灵活和强大的日志功能，可以保存几乎所有的操作记录，并可以从中检索出我们需要的信息。会看Linux日志是非常重要的，不仅在日常操作中可以迅速排错，也可以快速的定位入侵者。`

Linux日志文件放在/var/log/目录下

cd /var/log
ls

常用日志

系统日志是由一个名为syslog的服务管理的，如以下日志文件都是由syslog日志服务驱动的：

boot.log

记录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息

cat boot.log

lastlog

记录最后一次用户成功登陆的时间、登陆IP等信息。使用lastlog命令查看。

lastlog

message

记录Linux操作系统常见的系统和服务错误信息。syslog或messages 存储所有的全局系统活动数据，包括开机信息。基于 Debian 的系统如 Ubuntu 在 syslog 中存储它们，而基于 RedHat 的系统如 RHEL 或 CentOS 则在 messages 中存储它们。

vim

secure

Linux系统安全日志，记录用户和工作组变化情况（比如创建组、用户、更改用户口令）、用户登陆认证情况。auth.log 或secure 存储来自可插拔认证模块(PAM)的日志，包括成功的登录，失败的登录尝试和认证方式。Ubuntu 和 Debian 在auth.log 中存储认证信息，而 RedHat 和 CentOS 则在secure 中存储该信息。

btmp

记录Linux登陆失败的用户、时间以及远程IP地址。，可以记录有人使用暴力破*解ssh服务的日志。该文件用lastb命令查看。

lastb

wtmp

该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，使用last命令查看

last

utmp

该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件。该日志不会永久保存记录。使用who命令查看.

who

日志配置文件

日志的配置文件存放在/etc/rsyslog.conf中，它定义了日志的触发方式和不同级别的日志的存放位置。

vim etc/rsyslog.conf

日志的配置文件可以总体上分为三块

MODULES

它是表示处理日志的模块，比如哪些使用TCP传输，哪些使用UDP传输。

GLOBALS

它是日志的全局信息，表示了日志的记录格式。

RULES

它是日志规则，也可以理解为日志的管理方式，它定义了哪些事件需要被记录，被记录在哪里，这一块也是最重要的一块。

我们以rsyslog.conf中下面这条配置为例理解日志的管理方式：

*.info;mail.none;authpriv.none;cron.none /var/log/messages

上面的配置的意思是除了邮件服务mail，登录服务authpriv，计划任务服务cron外的其他所有info级别以上的日志都存在/var/log/messages文件中。

其中'.'前面的表示服务，后面的表示级别，none表示不记录，*表示通配所有服务的info级别以上。

转发规则

它可以进行配置远程日志服务器，用来做日志的异地备份。

日志级别

查看/etc/rsyslog.conf的帮助信息，可以获得linux中日志的级别信息。

man /etc/rsyslog.conf

从中找到下面这句话

The priority is one of the following keywords, in ascending order: debug,info, notice, warning, warn (same aswarning), err, error (same as err), crit, alert, emerg, panic (same as emerg). The keywords error, warn and panic are deprecated and should not be used anymore. The priority defines the severity of the message.

这句话表述了linux系统对于日志级别的划分方式，按照从最严重到最不严重排列，可以分为以下8个等级。

优先级	说明
emerg	紧急情况，系统不可用（例如系统崩溃），一般会通知所有用户。
alert	需要立即修复，例如系统数据库损坏。
crit	危险情况，例如硬盘错误，可能会阻碍程序的部分功能。
err	一般错误消息。
warning	警告。
notice	不是错误，但是可能需要处理。
info	通用性消息，一般用来提供有用信息。
debug	调试程序产生的信息。
none	没有优先级，不记录任何日志消息。

触发事件测试

logger -p authpriv.emerg "===test==="

检查日志

cat /var/log/secure

日志格式

时间               主机      进程（PID)：    事件
Dec  9 07:21:10 localhost               root: ===test===

欢迎关注博主的公众号：旁骛OtherThing，不定期更新技术干货。