0570syslog.htm
来自「鸟哥LINUX 学习课本」· HTM 代码 · 共 956 行 · 第 1/5 页
HTM
956 行
23:41:34 test su(pam_unix)[10839]: session opened for user root by test(uid=500)</font></td></tr></tbody></table> <br>在上面的表格中,可以看到每笔记录的主要内容是:<br> <ul><font color="#000066"><日期与时间><主机名称><服务名称><显示讯息></font></ul> <br>以第一笔资料来看,<日期是 Nov 4 的 16:28:35 时候>,在<主机 test当中>,<那个 xinetd 服务的内容有数据啦>,<该程序的 PID 为7831,显示的讯息,说的是telnet这个由xinetd启动的服务有人登入,登入者的IP是192.168.1.11>,这样够详细了吧!还有很多的信息值得看的呢!尤其是/var/log/messages的内容。然后,不要忘记了,在最后一笔数据中,还记录了可以使用su的使用者的uid为500,账号名称为test,那么如果这个数据被人家夺走了,呵呵!未来外面的cracker将可能试图以test这个账号来猜测你的密码,并加以破解,嗯!真的很重要吧!所以这些数据很多都不能外流呢!<br> <br>好了,再来看到我们要如何来设定 syslogd 呢?!刚刚说到 syslog 可以记录我们系统中的几乎所有的预设的系统工作,那么万一我的网络服务是自行设定的呢?!例如以Tarball 安装好的服务套件。OK!我们可以藉由修改 syslog 的参数档来达到这个目的。那么预设的syslog 参数档放在哪里呢?!<br> <ul><li><font color="#000066" face="SimSun">/etc/syslog.conf</font></li></ul><font color="#000066" face="SimSun"> </font><br>其实预设的 syslogd 程序的参数档案就是 /etc/syslog.conf 这个档案内容啦!这个档案的内容可以规定『<font color="#000099">什么服务需要被记录、该服务被纪录的讯息等级如何</font>?』。基本上,可以使用底下的句子语法来说明:<ul> <table bgcolor="#000000" border="1" cols="1" width="500"><tbody><tr><td><font size="-1" color="#ffffff" face="SimSun">服务名称.讯息等级 存放或显示地点</font></td></tr></tbody></table></ul><ul><li><font color="#3333ff">服务名称</font>:例如 mail, http, news, cron, at等等的服务名称;</li></ul> <ul><li><font color="#3333ff">讯息等级</font>:总共分成下列几种等级:</li><ul><li><font color="#000099">info</font> : 提示一些讯息数据;</li><li><font color="#000099">notice</font> : 注意!需要比较留意的讯息;</li><li><font color="#000099">waring</font> 或 <font color="#000099">warn</font>: 警示的讯息,以上三个讯息都还是没有错误的情况,虽然是需要留意,但是还没有到错误的情况;</li><li><font color="#000099">err</font> 或 <font color="#000099">error</font>: 呀!错误讯息出现了!该要检验错误的问题发生原因了;</li><li><font color="#000099">crit</font> : 临界点了!再不处理可就伤脑筋了!</li><li><font color="#000099">alert</font> : 错误讯息一再地警告警告!你将要完蛋了!</li><li><font color="#000099">emerg</font> 或 <font color="#000099">panic</font>: 阿!系统已经进入混乱的阶段!真的是完蛋了~~</li><li><font color="#000099">特殊等级</font>:例如 <font color="#000099">debug</font>(显示较多的信息!)及 <font color="#000099">none</font> (不要记录该服务的内容!)等!</li></ul> <li><font color="#3333ff">存放或显示地点</font>:通常我们使用的都是记录的档案啦!但是也可以输出到装置呦!例如打印机之类的!</li><ul><li><font color="#000066">档案的绝对路径</font>:通常就是放在 /var/log 里头的档案啦!</li><li><font color="#000066">打印机或其它</font>:例如 /dev/lp0 这个打印机装置</li><li><font color="#000066">使用者名称</font>:显示给使用者啰!</li><li><font color="#000099">远程主机</font>:例如 @test.adsldns.org</li></ul></ul> <table border="1" cols="1" width="80%"><tbody><tr><td>例题一:如果我要将我的mail相关的数据给他写入/var/log/maillog当中,那么在/etc/syslog.conf就要写成:<blockquote><font color="#000066" face="SimSun">mail.info       /var/log/maillog</font></blockquote>注意到上面喔,当我们的等级使用info时,那么『任何大于info等级(含info这个等级)之上的讯息,都会被写入到后面接的档案之中!』这样可以了解吗?也就是说,我们可以将所有mail的登录信息都纪录在/var/log/maillog里面的意思啦!</td></tr></tbody></table> <table border="1" cols="1" width="80%"><tbody><tr><td>例题二:我要将新闻群组数据(news)及例行性命令的信息(cron)都写入到一个称为/var/log/cronnews的档案中,但是这两个程序的警告讯息记录在/var/log/cronnews.warn该如何设定我的档案呢?很简单啦!既然是两个程序,那么只好以分号来隔开了,此外,由于第二个指定档案中,我只要记录警告讯息,因此设定上需要指定『=』这个符号,所以就成为了:<blockquote><font color="#000066" face="SimSun">news.*;cron.*            /var/log/cronnews</font><br><font color="#000066" face="SimSun">news.=warn;cron.=warn    /var/log/cronnews.warn</font></blockquote>上面那个『=』就是在指定等级的意思啦!由于指定了等级,因此,只有这个等级的讯息才会被纪录在这个档案里面呢!</td></tr></tbody></table> <table border="1" cols="1" width="80%"><tbody><tr><td>例题三:我的messages这个档案需要记录所有的信息,但是就是不想要记录cron,mail及news的信息,那么应该怎么写才好?可以有两种写法,分别是:<blockquote><font color="#000066" face="SimSun">*.*;news,cron,mail.none           /var/log/messages</font></blockquote>或<blockquote><font color="#000066" face="SimSun">*.*;news.none;cron.none;mail.none /var/log/messages</font></blockquote>使用『,』分隔时,那么等级只要接在最后一个即可,如果是以『;』来分的话,那么就需要将服务与等级都写上去啰!这样会设定了吧!</td></tr></tbody></table> <br>了解语法之后,我们来看一看在尚未开启网络服务的情况下,我们的 syslog有哪些系统服务已经在纪录了呢?!那就是瞧一瞧 /etc/syslog.conf 这个档案的预设内容啰!(注意!如果需要将该行做为批注时,那么就加上# 符号就可以啦!)<br> <table bgcolor="#000000" border="1" cols="1" width="600"><tbody><tr><td><font color="#ffffcc" face="SimSun">第一个例子:来自 Red Hat7.x 版本的 syslog.conf 内容:</font><br><font size="-1" face="SimSun"><font color="#ffff00">#kern.*   </font><font color="#ff9900">                                           </font><font color="#ffff00">  /dev/console</font></font><br><font size="-1" color="#ff9900" face="SimSun"># 只要是 kernel产生的讯息,全部都送到 console 去!</font><br><font size="-1" color="#ff9900" face="SimSun"># 这个项目预设是关闭的!不过,只要您愿意,可以开启就是了!</font><p><font size="-1" color="#ffff00" face="SimSun">*.info;mail.none;authpriv.none;cron.none               /var/log/messages</font><br><font size="-1" color="#ff9900" face="SimSun"># 在已知各服务的讯息中,不要记录到这个档案当中啦!</font><br><font size="-1" color="#ff9900" face="SimSun"># 例如 mail我们已经预设要记录在 /var/log/maillog (底下),</font><br><font size="-1" color="#ff9900" face="SimSun"># 所以自然不要在记录到这个/var/log/messages 档案中啦!</font><br><font size="-1" color="#ff9900" face="SimSun"># 然后其它的讯息全部都记录到/var/log/messages 当中!</font><br><font size="-1" color="#ff9900" face="SimSun"># 所以这个档案相当的重要!没有被规定到的讯息都可以在这里找到!</font></p><p><font size="-1" color="#ffff00" face="SimSun">authpriv.*                                             /var/log/secure</font><br><font size="-1" color="#ff9900" face="SimSun"># 这个就是经过一些身份确认的行为之后,需要记录身份的档案啦!</font><br><font size="-1" color="#ff9900" face="SimSun"># 什么是身份确认呢?例如pop3 收信要输入账号与密码、 ssh 与 telnet, ftp </font><br><font size="-1" color="#ff9900" face="SimSun"># 等等的服务需要输入账号与密码,这些都会在/var/log/secure 里面记录!</font><br><font size="-1" color="#ff9900" face="SimSun"># 他可也是相当重要的一个档案呢!</font></p><p><font size="-1" color="#ffff00" face="SimSun">mail.*                                                 /var/log/maillog</font><br><font size="-1" color="#ff9900" face="SimSun"># 只要跟 mail有关的(不论是 pop3 还是 sendmail )都会被纪录到这个档案中!</font></p><p><font size="-1" color="#ffff00" face="SimSun">cron.*                                                 /var/log/cron</font><br><font size="-1" color="#ff9900" face="SimSun"># 还记得例行性命令那一章节吗?!对啦!就是那个crontab 的东西,</font><br><font size="-1" color="#ff9900" face="SimSun"># 那东西的服务程序名称就是cron 啦!执行 cron 的结果都记录于此!</font></p><p><font size="-1" color="#ffff00" face="SimSun">*.emerg                                                *</font><br><font size="-1" color="#ff9900" face="SimSun">任何时候发生的警告讯息都会显示给在线的所有人!那个* 就是目前在线的所有人啦!</font></p><p><font size="-1" color="#ffff00" face="SimSun">uucp,news.crit                                         /var/log/spooler</font><br><font size="-1" color="#ff9900" face="SimSun"># 记录新闻错误高于crit 的等级的信息,写入 spooler 当中!</font></p><p><font size="-1" color="#ffff00" face="SimSun">local7.*                                               /var/log/boot.log</font><br><font size="-1" color="#ff9900" face="SimSun"># 将开机的当中的讯息给他写入/var/log/boot.log 这个档案当中呦!</font></p></td></tr><tr><td><font color="#ffffcc" face="SimSun">第二个例子:来自 Mandrake9.0 的 syslog.conf 内容!</font><br><font size="-1" color="#ff9900" face="SimSun"># 各种系统的讯息</font><br><font size="-1" color="#ff9900" face="SimSun"># 下面三行中,分别记录的是:</font><br><font size="-1" color="#ff9900" face="SimSun"># 1. 第一行记录的是有关『身份确认』的信息,只要是有『登入』主机,即有</font><br><font size="-1" color="#ff9900" face="SimSun">#  『输入账号与密码』的程序时,都记录到 auth.log 里面去了,这部份的记录主要有:</font><br><font size="-1" color="#ff9900" face="SimSun">#   xinet(telnet, ftp), ssh, su, postfix, pop3 等等</font><br><font size="-1" color="#ff9900" face="SimSun"># 2. 第二行则是除了身份记录的信息之外,其它的都需要记录在/var/log/syslog当中!</font><br><font size="-1" color="#ff9900" face="SimSun"># 3. 第三行则是记录了任何⌨️ 快捷键说明
复制代码Ctrl + C
搜索代码Ctrl + F
全屏模式F11
增大字号Ctrl + =
减小字号Ctrl + -
显示快捷键?