20181219日誌管理基礎

日誌管理基礎

rsyslog 日誌管理
logrotate 日誌輪轉
採集 -----> 分析
1、處理日誌的進程
rsyslogd： 絕大部分日誌記錄，和系統操做有關，安全，認證 sshd,su，計劃任務 at,cron...
httpd/nginx/mysql: 能夠以本身的方式記錄日誌
[root@yangs ~]# ps aux |grep rsyslogd
root 717 0.0 0.0 219752 3880 ? Ssl 09:05 0:00 /usr/sbin/rsyslogd -n
日誌能夠存放在本地
日誌能夠存放在遠程服務器
2、常見的日誌文件(系統、進程、應用程序)
1.#tail /var/log/messages //系統主日誌文件
tail -20 /var/log/messages
2.#tail -f /var/log/messages //動態查看日誌文件的尾部
3.# tailf /var/log/secure //認證、安全
4.# tail /var/log/maillog //跟郵件 postfix 相關
5.#tail /var/log/cron //crond、at 進程產生的日誌
6.#tail /var/log/dmesg //和系統啓動相關
7.#tail /var/log/audit/audit.log //系統審計日誌
8.#tail /var/log/yum.log //yum安裝過的軟件包
9.#tail /var/log/mysqld.log //MySQL
10.#tail /var/log/xferlog //和訪問 FTP 服務器相關
11.#w //當前登陸的用戶 /var/log/wtmp
12.#last //最近登陸的用戶 /var/log/btmp
13.#lastlog //全部用戶的登陸狀況 /var/log/lastlog

案例 1: 統計登陸失敗 top 5
[root@aliyun ~]# grep 'Fail' /var/log/secure |awk '{print $11}' |sort |uniq -c|sort -k1 -n -r |head -5
7 172.16.130.14
6 172.16.130.70
5 172.16.130.56
3 172.16.130.80
2 172.16.130.76
案例 2: 統計登陸成功
[root@aliyun ~]# grep 'Accepted' /var/log/secure |awk '{print $(NF-3)}' |sort |uniq -c
4 111.201.131.215
1 116.243.0.213
1 123.120.14.32
3 123.120.38.233
2 221.222.199.175
1 221.222.202.102
案例 3: 查看網卡是否已被驅動
[root@yang ~]# grep -i eth /var/log/dmesg
[ 0.809104] r8169 Gigabit Ethernet driver 2.3LK-NAPI loaded
[ 0.814193] r8169 0000:02:00.0 eth0: RTL8168g/8111g at 0xffffc9000183e000, 40:8d:5c:9b:3c:17, XID 0c000800
IRQ 25
[ 0.814195] r8169 0000:02:00.0 eth0: jumbo features [frames: 9200 bytes, tx checksumming: ko]