Linux日志系统与分析

1

目录

 Linux日志系统简介

 Linux日志分析

 案例介绍： Linux日志入侵发现

Linux日志系统简介

 日志的主要用途是系统审计、监测追踪和分析统计。

 为了保证 Linux 正常运行、准确定位系统问题，认真

检查日志文件是管理员的一项非常重要的任务。

 Linux采用了syslog工具来实现此功能，如果配置正确

的话，所有在主机上发生的事情都会被记录下来，不

管是好的还是坏的。

3

什么是 syslog

 Linux 内核由很多子系统组成 (网络、文件访问、内

存管理等)子系统需要给用户传送一些消息，消息内

容包括消息的来源及重要性等。所有子系统都要把消

息送到一可以维护的公用消息区，于是就有了 syslog。

 syslog 是一综合的日志记录系统。主要功能是日志管

理和分类存放

 syslog 使程序设计者从繁重的、机械的编写日志文件代码的

工作中解脱出来，使管理员更好地控制日志的记录过程。

4

syslogd 的配置

 syslogd 的配置文件 /etc/syslog.conf 规定了系统中需要监视的事件

和相应的日志的保存位置。

 # Log all kernel messages to the console.

 # Logging much else clutters up the screen.

 #kern.* /dev/console

 # 将 info 或更高级别的消息送到 /var/log/messages ，

 # 除了 mail/news/authpriv/cron 以外。

 # 其中*是通配符，代表任何设备；none 表示不对任何级别的信息进行记录。

 *.info;mail.none;news.none;authpriv.none;cron.none

/var/log/messages

 # 将 authpirv 设备的任何级别的信息记录到 /var/log/secure 文件中，

5

syslogd 的配置文件

 # 这主要是一些和认证、权限使用相关的信息。

 authpriv.* /var/log/secure

 # 将 mail 设备中的任何级别的信息记录到 /var/log/ maillog 文件中， 这主

要是和电子邮件相关的信息。

 mail.* -/var/log/ maillog



 # 将 cron 设备中的任何级别的信息记录到 /var/log/cron 文件中，

 # 这主要是和系统中定期执行的任务相关的信息。

 cron.* /var/log/cron

 # 将任何设备的 emerg 级别或更高级别的消息发送给所有正在系统上的用户。

 *.emerg *

6

syslogd 的配置文件

 # 将 uucp 和 news 设备的 crit 级别或更高级别的消息记录到

/var/log/spooler 文件中。

 uucp,news.crit /var/log/spooler

 # 将和本地系统启动相关的信息记录到 /var/log/boot.log 文件中。

 local7.* /var/log/boot.log

 # 将 news 设备的 crit 级别的消息记录到 /var/log/news/ news.crit 文件中。

 news.=crit