写在前面的话:
最近在看一本书,叫效率读书,其中讲述了两种思维,一种是发散性思维,一种是专注性思维,当我们在专注做一件事的时候,其实能持续的时间不是很长,大约在25分钟左右,如果时间过长,那么就会消耗很大,这个时候可以想想其他的事来分散一,注意力,也就是使用发散性思维,一般我是洗个澡,感觉洗了之后,思维比较清晰,各位也可以试试。
1、 前言
在操作系统中,存在着各种各样的事件,那么用什么来记录这些事件发生的时间和相关信息呢?那么就会用日志系统rsyslog(RHEL6.X)。
2 、 日志系统
在RHEL5.X的时候,使用的服务如下所示:
[root@testDB ~]#ps -ef|grep -E "syslogd|klogd"(RHEL5.X记录日志信息服务)
root 2994 1 0 Sep06 ? 00:00:01 syslogd -m 0(记录非内核产生的信息)
root 2997 1 0 Sep06 ? 00:00:00 klogd -x(记录kernel产生的信息)
在RHEL6.X的时候,使用的服务如下所示:
[root@rsyncserverscripts]# ps -ef|grep rsyslogd(RHEL6.X记录日志信息服务)
root 1662 1 0 01:17 ? 00:00:00 /sbin/rsyslogd -i/var/run/syslogd.pid -c 4
在RHEL6.X的时候,使用一个服务来记录相关子系统的信息,并且内核产生的信息也是使用服务rsyslog来进行记录,在查看配置文件的时候,可以看到加载了相关的模块,从而使用模块来进行动态的加载,从而写入相关的日志信息。
2.1 内核信息记录
内核产生的记录,最主要的就是写入到如下文件中:
[root@rsyncserverscripts]# ls -l /var/log/dmesg(内核信息boot.messages启动信息)
-rw-r--r-- 1root root 20395 Nov 1 00:42 /var/log/dmesg
在进行启动系统的时候,每次dmesg文件都会被清空,然后重新写入,会将相关的启动信息写入到此文件中。
在内核产生其他信息的时候,一个是写入到物理终端中,也就是设备/dev/console,另外一个就是写入dmesg文件。
[root@rsyncserver~]# less dmesg(查看开机启动信息)
[root@rsyncserver~]# tail -f /var/log/dmesg(查看内核最近产生的日志信息)
platformmicrocode: firmware: requesting intel-ucode/06-2a-07
microcode: CPU3sig=0x206a7, pf=0x1, revision=0x0
platformmicrocode: firmware: requesting intel-ucode/06-2a-07
Microcode UpdateDriver: v2.00 <tigran@aivazian.fsnet.co.uk>, Peter Oruba
parport_pc00:04: reported by Plug and Play ACPI
2.2 其他日志信息
常见的日志信息记录路径如下所示:
# Log anything(except mail) of level info or higher.
# Don't logprivate authentication messages!
*.info;mail.none;authpriv.none;cron.none /var/log/messages(系统标准错误日志信息,不写入邮件,认证和定时任务的信息)
# The authprivfile has restricted access.
authpriv.* /var/log/secure(安全日志信息)
# Log all themail messages in one place.
mail.* -/var/log/maillog(邮件日志信息,采用的是异步写入)
# Log cron stuff
cron.* /var/log/cron(定时任务日志信息)
# Everybody getsemergency messages
*.emerg *(紧急信息会发送给在线的所有人员,也就是直接在屏幕上输出)
# Save newserrors of level crit and higher in a special file.
uucp,news.crit /var/log/spooler(新闻的严重的日志信息)
最需要关注的日志信息路径如下所示:
[root@rsyncserver~]# ls -l /var/log/{messages,secure}
-rw------- 1root root 63652 Nov 1 02:48/var/log/messages(系统日志信息)
-rw------- 1root root 13697 Nov 1 00:47/var/log/secure(认证日志信息)
可以看出来,这些日志信息的权限均为600,主要在启动服务的时候,设定了umask,从而在创建文件的时候,都会使用这个权限,如下所示:
[root@rsyncserver~]# grep umask /etc/init.d/rsyslog (设置文件权限位600,保障安全性)
umask 077
系统日志信息如下:
[root@rsyncserverlog]# tail -f messages-20161016
Oct 14 02:51:59localhost kernel: kjournald starting. Commit interval 5 seconds
Oct 14 02:51:59localhost kernel: EXT3-fs (sdd2): using internal journal
Oct 14 02:51:59localhost kernel: EXT3-fs (sdd2): mounted filesystem with ordered data mode
Oct 14 02:58:21localhost kernel: kjournald starting. Commit interval 5 seconds
Oct 14 02:58:21localhost kernel: EXT3-fs (sdd1): using internal journal
记录的相关信息为:
Ø 时间
Ø 主机名(主要是根据配置文件/etc/hosts文件进行解析)
Ø 相关信息
认证信息如下所示:
[root@rsyncserverlog]# tail -f /var/log/secure(认证信息)
Nov 1 03:20:53 localhost sshd[1778]: Acceptedpassword for root from 192.168.1.11 port 50192 ssh2
Nov 1 03:20:53 localhost sshd[1778]:pam_unix(sshd:session): session opened for user root by (uid=0)
Nov 1 03:22:18 localhost su: pam_unix(su-l:session):session opened for user kel by root(uid=0)
Nov 1 03:22:23 localhost su: pam_unix(su-l:auth): authentication failure;logname=root uid=500 euid=0 tty=pts/1 ruser=kel rhost= user=root
Nov 1 03:22:40 localhost sshd[2248]: Acceptedpassword for root from 192.168.1.11 port 50212 ssh2
Nov 1 03:22:40 localhost sshd[2248]:pam_unix(sshd:session): session opened for user root by (uid=0)
Nov 1 03:22:47 localhost sshd[2248]:channel_by_id: 0: bad id: channel free
Nov 1 03:22:47 localhost sshd[2248]: Disconnecting:Received ieof for nonexistent channel 0.
Nov 1 03:22:47 localhost sshd[2248]:pam_unix(sshd:session): session closed for user root
Nov 1 03:22:54 localhost sshd[2265]: pam_unix(sshd:auth): authentication failure;logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.1.11 user=root
Nov 1 03:22:57 localhost sshd[2265]: Failedpassword for root from 192.168.1.11 port 50216 ssh2
Nov 1 03:23:04 localhost sshd[2265]: Failedpassword for root from 192.168.1.11 port 50216 ssh2
Nov 1 03:23:07 localhost sshd[2266]: Receiveddisconnect from 192.168.1.11: 0:
Nov 1 03:23:07 localhost sshd[2265]: PAM 1 moreauthentication failure; logname= uid=0 euid=0 tty=ssh ruser=rhost=192.168.1.11 user=root
记录的字段如下所示:
Ø 时间
Ø 主机名称
Ø 服务模块
Ø 相关信息
2.3 日志级别
在记录的相关信息的时候,可以看到记录的日志级别:debug,info,notice,warning,error,critic,alert,emergic,panic。
3、 服务及配置
日志系统的配置文件如下:
[root@rsyncserver~]# ls -l /etc/rsyslog.conf (配置文件路径)
-rw-r--r-- 1root root 2813 Nov 1 03:31/etc/rsyslog.conf
第一部分为加载的模块,也就是需要写入哪些信息
第二部分为全局设定,也就是时间的显示设定
第三部分为写入的规则,也就是记录的日志级别
3.1 将日志写入到其他主机
当需要将日志写入到其他主机的日志文件的时候,可以使用如下的方法:
编辑配置文件:/etc/rsyslog.conf
# Provides UDPsyslog reception
$ModLoadimudp.so
$UDPServerRun514
在目标主机上必须加载模块,并开放514端口,重新加载rsyslog服务,如下:
[root@rsyncserver~]# /etc/init.d/rsyslog reload(重新加载配置文件)
Reloading systemlogger... [ OK ]
[root@rsyncserver~]# netstat -tunlp|grep 514(查看监听端口)
udp 0 0 0.0.0.0:514 0.0.0.0:* 2352/rsyslogd
udp 0 0 :::514 :::* 2352/rsyslogd
配置文件中可以加入两条策略,写入本地并同时写入到远程主机上:
# The authprivfile has restricted access.
authpriv.* /var/log/secure(写入本机)
authpriv.* @192.168.1.63:514(写入远程主机)
3.2 服务的启停
服务的启停如下所示:
[root@rsyncserver~]# /etc/init.d/rsyslog reload(重新加载配置文件)
Reloading systemlogger... [ OK ]
[root@rsyncserver~]# /etc/init.d/rsyslog restart(重新启动)
Shutting downsystem logger: [ OK ]
Starting systemlogger: [ OK ]
[root@rsyncserver~]# /etc/init.d/rsyslog start(启动)
Starting systemlogger:
[root@rsyncserver~]# /etc/init.d/rsyslog stop(停止)
Shutting downsystem logger: [ OK ]
也可以使用service的方式:
[root@rsyncserver~]# service rsyslog restart(使用service的方式重启)
Shutting downsystem logger: [ OK ]
Starting systemlogger: [ OK ]
查看其他主机发送的日志信息:
4、 脚本中测试创建文件的权限
在进行使用日志信息的时候,可以发现创建的日志权限位600,查看脚本,使用的方式是umask,从而使用脚本测试下创建文件的权限,如下所示:
[root@rsyncserverscripts]# cat createfile.sh (查看测试脚本内容)
#!/bin/bash
umask 077
touch/var/lock/subsys/kel.log
ls -l/var/lock/subsys/kel.log
[root@rsyncserverscripts]# ./createfile.sh (查看创建文件的权限,从而每次创建文件的时候,可以使用umask来指定文件的权限,只对当前脚本有效)
-rw------- 1root root 0 Nov 1 08:42/var/lock/subsys/kel.log