文档介绍:第7章Linux系统日志日志记录了系统每天发生的各种各样的事件,对于解决计算机系统的故障和保证系统的安全来说非常重要。用户可以通过日志来了解系统运行的状态,检查各种错误发生的原因,或者寻找攻击者留下的痕迹。下面介绍一下Linux操作系统中有关日志的情况,包括日志类型、日志管理、日志监测和分析等内容。,通过这些软件包可以对日志进行记录、管理、分析、监测等操作。其中,最基本的系统日志功能是由sysklogd软件包实现的,它记录了内核和Linux系统最关键的日志。下面介绍一下有关sysklogd的运行、配置和日志的查看等内容。,通过审计和监测系统日志可以及时发现系统故障,检测和追踪入侵,并为系统出错时能恢复正常工作提供重要的帮助。RHEL5发行版包含了两种系统日志功能,一种是syslog,用于记录常规的日志,还有一种是klog,用于记录内核活动信息。,它的内容决定了系统日志记录哪些内容、采取什么动作等等。,每行包含一项配置内容,“#”是注释符,其后的字符将被忽略,空行和空格也被忽略。,默认情况下,Linux的日志文件都存放在/var/log目录,这些日志文件的文件主用户基本上都是root,而且大部分的日志其它用户是不能查看的。,为了更有效地对这些日志进行管理,还需要其它一些工具。为了防止日志文件占用过多的磁盘空间,需要定时对其进行删除,这可以由日志的转储功能来实现。此外,有些日志内容不是文本格式,需要通过特定的命令才能显示出来。还有,通过记录某些日志信息还可以实现对用户和进程进行记帐的功能。,Linux系统提供了一种日志转储的功能。假设一个日志文件的名字是log,利用日志转储功能,可以在某一时刻,,而原来的log文件清空后继续使用。再到了某一时刻,,,log再清空后继续。依次类推,最终结果是把日志分到按顺序排列的文件中。在Linux系统中,日志转储功能是由logrotate命令实现的,它可以设置成按日、按周或按月进行转储,也能在文件太大时立即处理。,这些日志信息存放在/var/log目录的wtmp和lastlog文件,以及/var/run目录的utmp文件中,它们是由多个进程写入的。有关当前登录用户的信息记录在文件utmp中。wtmp文件主要存放用户的登入和退出信息,此外还存放关机、重起等信息。最后一次登录的信息存放在lastlog文件中。,有时需要记录用户对资源的消费情况,作为对用户帐号收取费用的依据。这些日志也可以用于安全目的,提供有关系统活动的有价值的信息。t的软件包,可以实现上述的记帐功能。、系统非常繁忙的Linux系统来说,其日志文件是极其庞大的,大量没有价值的信息会将有用的信息淹没,给管理员分析和管理日志带来了很大的不便。为了解决这个问题,出现了很多专门的日志分析工具,下面介绍一下Logcheck和swatch日志分析工具的安装、运行和使用方法。山杭诬居念捞妖积辞括狄蛔叠份菲棉笋页吭利者囚栽