Linux日志管理

1.系统常用日志

日志文件用于记录linux系统的各种运行信息的文件，相当于linux主机的日记，不同的日志文件记载了不同类型的信息,如Linux内核消息、用户登录事件、程序错误等。日志文件对于诊断和解决问题很有帮助，因为linux运行的程序通常把系统的消息和错误写入对应的日志文件，这样系统可以有据可查， 此外,当主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹

案例：secure日志记录演示：

我们先看一下secure日志的内容：

sudo cat secure

可以看到很多的登录内容：

为了方便演示，我们先将此日志文件里面的内容清空：

sudo chmod 777 secure
sudo echo '' > secure

接着使用Xshell连接虚拟机，故意输错两次密码，随后输入正确密码连接，我们看secure日志能否记录：

[centos@centtos7 log]$ cat secure

Dec 27 08:04:54 centtos7 unix_chkpwd[3261]: password check failed for user (centos)
Dec 27 08:04:54 centtos7 sshd[3225]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=192.168.192.1 user=centos
Dec 27 08:04:56 centtos7 sshd[3225]: Failed password for centos from 192.168.192.1 port 55502 ssh2
Dec 27 08:05:00 centtos7 unix_chkpwd[3262]: password check failed for user (centos)
Dec 27 08:05:02 centtos7 sshd[3225]: Failed password for centos from 192.168.192.1 port 55502 ssh2
Dec 27 08:05:04 centtos7 sshd[3225]: Accepted password for centos from 192.168.192.1 port 55502 ssh2
Dec 27 08:05:04 centtos7 sshd[3225]: pam_unix(sshd:session): session opened for user centos by (uid=0)

果不其然！日志记录了我们成功登录和失败登录的详细信息！

案例：lastlog演示：

查看所有用户上次的系统登录时间：

[centos@centtos7 log]$ lastlog
Username Port From Latest
root **Never logged in**
...
qemu **Never logged in**
gluster **Never logged in**
gdm :0 Tue Dec 27 07:57:51 -0500 2022
rpcuser **Never logged in**
nfsnobody **Never logged in**
gnome-initial-setup **Never logged in**
sshd **Never logged in**
avahi **Never logged in**
postfix **Never logged in**
ntp **Never logged in**
tcpdump **Never logged in**
centos pts/1 192.168.192.1 Tue Dec 27 08:05:04 -0500 2022