明明白白你的Linux服务器--日志篇

日志对于安全来讲，很是重要，它记录了系统天天发生的各类各样的事情，你能够经过他来检查错误发生的缘由，或者受到***时***者留下的痕迹。日志主要的功能有：审计和监测。他还能够实时的监测系统状态，监测和追踪侵入者等等。正由于如此，抚琴煮酒特的将它整理成一篇比重跟 硬件篇、 网络篇并列的文章，但愿你们能从中学习到对本身有用的东西。

1、配置syslog（gyl4802959同窗撰写）

目前，linux依旧使用syslogd做为日志监控进程，对其进行必要的配置能减小不少麻烦，而且可更有效的从系统日志监控到系统的状态。理解并完善一个syslog的配置，对于系统管理员来讲显得尤其重要。
/etc/syslog.conf根据以下的格式定义规则： facility.level action
设备.优先级 动做facility.level 字段也被称为seletor（选择条件），选择条件和动做之间用空格或tab分割开。
#号开头的是注释，空白行会自动跳过。

一、facility

facility定义日志消息的范围，其可以使用的key有： auth －由 pam_pwdb 报告的认证活动。
authpriv －包括特权信息如用户名在内的认证活动
cron －与 cron 和 at 有关的计划任务信息。
daemon －与 inetd 守护进程有关的后台进程信息。
kern －内核信息，首先经过 klogd 传递。
lpr －与打印服务有关的信息。
mail －与电子邮件有关的信息
mark － syslog内部功能用于生成时间戳
news －来自新闻服务器的信息
syslog －由 syslog 生成的信息
user －由用户程序生成的信息
uucp －由 uucp 生成的信息
local0-local7 －与自定义程序使用

* 通配符表明除了 mark 之外的全部功能除mark为内部使用外，还有security为一个旧的key定义，等同于auth，已经再也不建议使用。

二、level级别

level定义消息的紧急程度。按严重程度由高到低顺序排列为： emerg －该系统不可用，等同panic
alert －须要当即被修改的条件
crit －阻止某些工具或子系统功能实现的错误条件
err －阻止工具或某些子系统部分功能实现的错误条件，等同error
warning －预警信息，等同warn
notice －具备重要性的普通条件
info －提供信息的消息
debug －不包含函数条件或问题的其余信息
none －没有重要级，一般用于排错

* 全部级别，除了none其中，panic、error、warn均为旧的标识符，再也不建议使用。
在定义level级别的时候，须要注意两点： 1）优先级是由应用程序在编程的时候已经决定的，除非修改源码再编译，不然不能改变消息的优先级；

低的优先级包含高优先级，例如，为某个应用程序定义info的日志导向，则涵盖notice、warning、err、crit、alert、emerg等消息。（除非使用=号定义）

三、selector选择条件

经过小数点符号“.”把facility和level链接在一块儿则成为selector（选择条件）。
可使用分号“;”同时定义多个选择条件。也支持三个修饰符： * － 全部日志信息
= － 等于，即仅包含本优先级的日志信息
! － 不等于，本优先级日志信息除外

四、action动做

由前面选择条件定义的日志信息，可执行下面的动做： file－指定日志文件的绝对路径
terminal 或 print －发送到串行或并行设备标志符，例如/dev/ttyS2
@host －远程的日志服务器
username －发送信息本机的指定用户信息窗口中，但该用户必须已经登录到系统中
named pipe －发送到预先使用 mkfifo 命令来建立的 FIFO 文件的绝对路径※注意，不能经过“|/var/xxx.sh”方式导向日志到其余脚本中处理。

五、举例

例如： *.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages
#把除邮件、新闻组、受权信息、计划任务等外的全部通知性消息都写入messages文件中。
mail,news.=info /var/adm/info
#把邮件、新闻组中仅通知性消息写入info文件，其余信息不写入。
mail.*;mail.!=info /var/adm/mail
#把邮件的除通知性消息外都写入mail文件中。
mail.=info /dev/tty12
#仅把邮件的通知性消息发送到tty12终端设备
*.alert root,joey
#若是root和joey用户已经登录到系统，则把全部紧急信息通知他们
*.* @finlandia
#把全部信息都导向到finlandia主机（经过/etc/hosts或dns解析其IP地址）※注意：每条消息均会通过全部规则的，并非惟一匹配的。

也就是说，假设mail.=info信息经过上面范例中定义的规则时，/var/adm/info、/var/adm/mail、/dev/tty12，甚至finalandia主机都会收到相同的信息。这样看上去比较烦琐，但能够带来的好处就是保证了信息的完整性，可供不一样地方进行分析。

 

2、messages日志

首先说下咱们最关注的系统/var/log/messages，这东东不只是我们服务器的系统日志，不少时候它也作了许多服务的日志，这也是它被称为杂货铺的缘由，值得重点关注，你们通常都喜欢用如下命令看最后十条日志

tail -n10 /var/log/messages

其实还能够将一段日志保存成文件，正用练下本身的awk、sed和grep水平；或者直接用vim来查看,这也是算是一种经验之谈吧。我之前配置bind的主从复制，有时由于权限的缘由报错；这时能够在一台报错的服务器上用命令tail -f /var/log/messages实时查看服务器的变化状况，从中查找错误的蛛丝马迹；事实证实，效果很好，并且用于lvs+keepalived的排错效也不错，其它事例依此类推。

3、secure的用法

/var/log/secure：记录登入系统存取数据的文件，例如 pop3, ssh, telnet, ftp 等都会被记录，咱们能够利用此文件找出不安全的登录IP。

4、记录登录者的数据

/var/log/wtmp：记录登入者的讯息数据，因为本文件已经被编码过(为二进制文件)，因此必须使用 last指令来取出文件的内容，你用cat等命令直接查看此文件是不行的。

5、lastlog记录系统时间

/var/log/lastlog ： 记录每一个使用者最近签入系统的时间， 所以当使用者签入时， 就会显示其上次签入的时间，您应该注意一下这个时间， 若不是您上次签入的时间， 表示您的账号可能被人盗用了。 此档可用 /usr/bin/lastlog 指令读取（Freebsd下为/usr/sbin/lastlogin）。

6、用dmesg查看启动消息 

dmesg提供了一个简单的方法查看系统启动信息。当Linux启动的时候，内核的信息被存入内核ring缓存当中，dmesg能够显示缓存中的内容。默认状况下，dmesg打印内容到屏幕上面，固然你能够重定向输出到一个文件。若是硬件损坏的话，在dmesg日志里是有显示的，可用如下命令来查看dmesg | grep error

7、服务器的邮件日志

服务器的邮件为/var/log/messages，若是要用专业的日志分析工具来分析的话，我推荐用Awstats；因为公司的开发对邮件的要求比较低，因此我帮他们配置的就是最简单的sendmail，有时看看邮件日志里的status状态来判断邮件到底有没有正确发送；在配置Nagios服务器，我也习惯用此日志来判断报警邮件到底有没有发送，若是对本身的shell水平足够自信，也能够写脚原本收集邮件服务器的返回状态等，但专业的事情，建议仍是由专业的工具来作，特别是邮件负载比较大时，天天几百万条日志或上千万条日志不是开玩笑的。

8、日志文件的专业工具

像系统的一些服务，好比Apache、Nginx、Squid、还有mysql，都有本身的特定的日志文件，因为格式比较复杂，也推荐用专业工具，如Awstats、Cacti来分析，如今用cacti用得比较可能是用它分析Nginx负载均衡器的一段时间的并发状况。

 

9、输出Iptables日志到一个指定的文件(logboy同窗撰写)

Iptables的man参考页中提到: 咱们可使用Iptables在Linux内核中创建, 维护和检查IP包过滤规则表。几个不一样的表可能已经建立, 每个表包含了不少内嵌的链, 也可能包含用户自定义的链。Iptables默认把日志信息输出到/var/log/messages文件。不过一些状况下你可能须要修改日志输出的位置。下面向你们介绍如何创建一个新的日志文件/var/log/iptables.log。经过修改或使用新的日志文件, 你能够建立更好的统计信息或者帮助你分析网络***信息。

(1). Iptables默认的日志文件

例如, 若是你输入下面的命令, 屏幕将显示/var/log/messages文件中的Iptables日志信息:

# tail -f /var/log/messages

输出:

Oct 4 00:44:28 debian gconfd (vivek-4435):
Resolved address "xml:readonly:/etc/gconf/gconf.xml.defaults"
to a read-only configuration source at position 2
Oct 4 01:14:19 debian kernel:
IN=ra0 OUT= MAC=00:17:9a:0a:f6:44:00:08:5c:00:00:01:08:00
SRC=200.142.84.36 DST=192.168.1.2
LEN=60 TOS=0x00 PREC=0x00 TTL=51 ID=18374
DF PROTO=TCP SPT=46040 DPT=22 WINDOW=5840 RES=0x00 SYN URGP=0　

(2).输出Iptables日志信息到一个指定文件的方法

打开你的/etc/syslog.conf文件:

# vi /etc/syslog.conf

在文件末尾加入下面一行信息:

kern.warning /var/log/iptables.log

保存和关闭文件。

从新启动Syslogd(若是你使用Debian/Ubuntu Linux):

# /etc/init.d/sysklogd restart

另外, 使用下面命令从新启动Syslogd(若是你使用Red Hat/Cent OS/Fedora Core Linux):

# /etc/init.d/syslog restart如今确认你的Iptables使用了log-level 4参数(前面有一个log-prefix标志)。例如:

# DROP everything and Log it
iptables -A INPUT -j LOG –log-level 4
iptables -A INPUT -j DROP

举一个例子, 丢弃和记录全部来自IP地址65.55.11.2的链接信息到/var/log/iptables.log文件。

iptables -A INPUT -s 64.55.11.2 -m limit
limit 5/m --limit-burst 7 -j LOG
log-prefix ‘** HACKERS **’ --log-level 4
iptables -A INPUT -s 64.55.11.2 -j DROP　

命令解释:

log-level 4: 记录的级别. 级别4为警告(warning)。

log-prefix ‘*** TEXT ***’: 这里定义了在日志输出信息前加上TEXT前缀。TEXT信息最长能够是29个字符, 这样你就能够在记录文件中方便找到相关的信息。

如今你能够经过/var/log/iptables.log文件参考Iptables的全部信息:

# tail -f /var/log/iptables.log

10、日志轮询

再说下日志的轮询，Linux的日志轮询机制作得至关好，固然咱们也能够经过配置/etc/logrotate.conf来修改它,有兴趣的同窗可参考鸟哥的文章，这里就不做详细介绍了。