注：在 centos7/Rocky9 中，系统日志消息由两个服务负责处理：systemd-journald 和 rsyslog

一、常见日志文件的作用

实验一：测试查看暴力破解系统密码的IP地址

步骤一：故意输错密码3次，在日志文件中查看

步骤二：提取IP地址

• awk '{print $11}' #以空格或 Tab 做为分隔符，打印第 11 列的数据
• uniq 命令用于报告或忽略文件中的重复行，-c 或count：在每列旁边显示该行重复出现的次数

步骤三：发现后，使用防火墙拒绝此IP（首先查看和清空防火墙规则）

将拒绝Ip地址的规则添加进去

注：需要注意的是，一旦为防火墙添加这条规则，此远程连接就会断开，无法重连；需要在虚拟机中清空防火墙规则才能够再次进行远程连接

实验二：/var/log/wtmp文件的作用

• /var/log/wtmp 是一个二进制文件，记录每个用户的登录次数和持续时间等信息
• 可以用 last 命令输出 wtmp 中内容
• last 显示到目前为止，成功登录系统的记录

实验三：使用 /var/log/btmp 文件查看暴力破解系统的用户

注：/var/log/btmp 文件是记录错误登录系统的日志

文件变得过大时，清空可选方式：

两种方式差别：第一种方式直接覆盖，Inode号不变，第二种方式删除后重建，Inode号可能会变

二、日志的记录方式

日志的记录在 rsyslog 中由日志的“类别”和“级别”组成。

1.日志的分类（类别）

• daemon 后台进程相关
• kern 内核产生的信息
• lpr 打印系统产生的
• cron 定时相关
• mail 邮件相关
• syslog 日志服务本身的
• news 新闻系统
• authpriv 安全认证
• local0~7 自定义的日志设备
• local0-local7 8 个系统保留，程序使用或者是用户自定义

2.日志的级别

3.查看日志配置文件信息（/etc/rsyslog.conf）

类别.级别

• *.info;mail.none;authpriv.none;cron.none         /var/log/messages——所有的类别级别是 info 以上除了 mail,authpriv,cron
• authpriv.*                认证相关日志                     /var/log/secure
• mail.*                      邮件相关的日志                 -/var/log/maillog
• cron.*                      计划任务相关的日志           /var/log/cron
• local7.*                   开机时显示的信息存放        /var/log/boot.log

注：“- ”号：邮件的信息比较多,现将数据存储到内存,达到一定大小,全部写到硬盘。有利于减少 I/O进程的开销。数据存储在内存,如果关机不当则数据消失。

4.日志输入的规则

• . info 大于等于 info 级别的信息全部记录到某个文件。
• .=级别 仅记录等于某个级别的日志。例：.=info 只记录 info 级别的日志
• .! 级别 除了某个级别以外,记录所有的级别信息（C6 可用）。例.!err 除了 err 外记录所有。
• .none 指的是排除某个类别。

实验：自定义日志

步骤一：在/var/log/目录下创建all.log日志文件，然后在配置文件中记录位置

步骤二：重启日志服务，使配置生效

步骤三：防止日志删除，添加隐藏属性

三、日志轮替切割

1.日志的切割

• 在 linux 下的日志会定期进行滚动增加，我们可以对日志进行指定大小的切割。logrotate 支持按时间和大小来自动切分（剪切）,以防止日志文件太大。
• 日志轮替最主要的作用就是把旧日志文件移动并改名，同时建立新的空日志文件。当旧日志文件数量超出保存范围后就进行删除

logrotate 配置文件主要有：

• /etc/logrotate.conf（全局规则） 以及 /etc/logrotate.d/ （局部规则）目录下的明细配置文件。logrotate 的执行由 crond 服务调用的。
• 查看 logrotate 脚本内容（需要自己写）

logrotate 程序每天由 cron 在指定的时间（/etc/crontab）启动

日志是很大的,如果让日志无限制的记录下去，日志文件会逐渐变大，以至于文件无法打开。

日志切割

• 当日志达到某个特定的大小,将之前的日志保留一个备份,再产生的日志创建一个同名的文件保存新的日志

2.系统中的文件默认切割轮替

• weekly：每周执行切割轮替，或者说每周执行一次日志切割轮替
• rotate：表示日志切分后历史文件最多保存离现在最近的多少份
• create：指定新创建的文件的权限与所属主与属组
• dateext：使用日期为后缀的切割文件

其它参数说明：

• monthly: 日志文件将按月轮循。其它可用值为‘daily’，‘weekly’或者‘yearly’。
• size：只有当日志文件增长到指定大小时才会进行切割轮替，比如 100k、100M、100G 单位大小均为有效值。（如果此选项和时间轮替冲突那么最后一个指定的轮替条件生效）
• rotate 5: 将存储 5 个归档日志。对于第 6 个归档，距离当前时间最久的归档将被删除。
• dateext：在日志切割轮替后，旧日志文件以切割轮替日期为文件后缀名。
• nodateext：在日志轮替切割后，旧日志文件不以日期为后缀名。
• compress: 在轮循任务完成后，已轮循的归档将使用 gzip 进行压缩。
• delaycompress: 总是与 compress 选项一起用，delaycompress 选项指示 logrotate 不要将最近的归档压缩。
• missingok: 在日志轮循期间，任何错误将被忽略，例如“文件无法找到”之类的错误。
• notifempty: 如果日志文件为空，轮循不会进行。
• create 644 root root: 以指定的权限创建全新的日志文件，同时 logrotate 也会重命名原始日志文件。
• sharedscripts：在此关键字之后的脚本执行一次。
• prerotate/endscript：在日志轮替之前执行脚本命令。endscript 标识 prerotate 脚本结束。
• postrotate/endscript: 在所有其它指令完成后，postrotate 和 endscript 里面指定的命令将被执行。

3.logrotate 命令

格式：logrotate   [选项]   配置文件名

选项：如果此命令不添加子选项，则会按照配置文件中的条件进行日志轮替。

• -v：显示日志轮替过程。加-v 选项会显示日志的轮替过程。
• -f：强制进行日志轮替。不管日志轮替的条件是否已经符合，强制配置文件中的所有日志进行轮替

4.自定义日志切割轮替

步骤一：在/var/logrotate.d/目录下创建alog文件，写入all.log日志的切割轮替规则

步骤二：在配置环境rsyslog.conf中写入all.log日志的路径和类别、级别

步骤三：全部保存好之后，重新启动rsyslog服务，载入配置好的配置文件

步骤四：执行强制轮替的命令，然后查看/var/log/下是否会出现强制轮替产生的文件

补充

split：文件拆分

• -a：指定输出文件名的后缀长度，默认2字符
• -d：指定输出文件名的后缀长度用数字代替
• -b：指定输出文件的大小，可以用k,m,g等表示

cat：文件合并

四、配置远程日志服务器

作用：实现日志的集中管理

server端配置（25.6）

步骤一：解除514端口注释，开放tcp连接监听端口

步骤二：重启rsyslog服务，查看服务监听的状态

步骤三：关闭防火墙，确保不会影响到日志的接收

client端配置（25.16）

步骤一：修改主机名方便区分日志所属

步骤二：更改配置文件，将远程服务器的主机地址添加进去（本机是192.168.25.16）

步骤三：重启rsyslog服务，确保配置文件重新加载识别

步骤四：创建一个新的用户，然后在服务器端的/var/log/secure日志文件中查看是否更新

注：可以看到服务器端已经收到了一台客户端的日志信息（服务器使用UDP协议，则一行只能有一个@符号，若使用TCP协议，则必须有两个@符号）