1.日志管理基本介绍

日志文件是一个重要的系统文件，其中记录了很多重要的系统事件，包括用户的登录信息，系统的启动信息等。

2.日志文件保存的目录：/var/log/

日志文件

可以看到里面存放了许多日志文件，比如lastlog文件就是记录系统所有用户最后一次登录的情况(注意这是一个二进制文件，直接输入lastlog打开)

lastlog文件信息

可以看到root用户最后登录的时间是Mon Jul 31 04:36:43，而下面那些用户没有登录过。

再比如auth.log文件(centos应该是secure文件)，它记录了验证和授权方面的信息，只要涉及账号和密码的程序都会记录在这里，如系统的登录，ssh的登录，su切换用户等(所以有黑客攻击首先查看这个文件)。这里来一个实例：

先找到这个文件并打开

找到文件

打开发现文件内容为空(刚刚手动清空了)

现在退出登录，并且以错误密码登录系统

推出系统登录

以错误密码登录系统

在一次以错误密码登录失败后以正确密码进入系统并找到auth.log文件，查看里面内容：

auth.log文件

可以发现里面记录了登录失败的日志信息。

注意：关于这个信息的解读如下，共分为4列：

信息解读

3.日志管理服务（这一点理论是这样的，但是我自己的机器上没有搞成功，先写在这，待排查出问题后再说明）

日志管理服务和日志的关系：/var/log/下的这些日志文件是谁在记录？谁帮你把系统的这些信息记录到这些日志文件里去的？这就是rsyslogd这个服务干的事情，它是一个后台程序或者说是服务。问题，这个程序怎么知道将系统的哪些事件记录到具体哪个日志文件里去呢？在/etc/rsyslog.conf文件中记录了让rsyslogd去管理的日志有哪些，也就是说这个文件里记录了哪些事件应该记录到哪个日志文件中去。

日志原理图

做日志管理一定要确保rsyslogd服务是处于运行的状态，可以用ps aux | grep "rsyslog"来查看是否服务已经运行

可以看到已运行

一般要将这个服务设置为开机自启动及随着系统的启动而启动。

4.日志管理服务的应用实例（这个实例在Ubuntu上做没有成功，应该是和Centos稍有区别）

现在来做一个实例，在/etc/rsyslog.conf中添加一个日志文件/var/log/hsf.log，当有事件发生时比如sshd相关事件该文案金会收到信息并保存

要做的是在/etc/rsyslog.conf中添加一条说明，告诉它当有指定的事件发生的时候由rsyslog服务将信息写到/var./log/hsf.log里去

/etc/rsyslog.conf添加说明

再创建hsf.log文件

创建文件

查看内容为空

空内容

重启系统

重启

因为刚刚设置的是*.*,因此重启事件，登录事件等都会记录到hsf.log中去。再查看hsf.log文件。

----------------------------------------换Centos-------------------------------------------------------------------

添加说明

创建成功

查看为空

重启系统reboot -f

查看hsf.log文件

hsf.log文件内容

可以看到里面新添了内容。

日志先记录这么多，毕竟不是重点！！