日志分割.ppt

Linux Linux 日志分割管理日志分割管理 Copyright ? 2011 Red Hat, rights reserved 目标目标通过本章的学习。我们要学习到的内容有: ?日志的作用?为什么要进行日志分割?哪些日志需要进行分割?日志分割有哪些方法 Copyright ? 2011 Red Hat, rights reserved 日志的作用日志的作用日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。 Copyright ? 2011 Red Hat, rights reserved 为什么分割日志为什么分割日志随着系统操作的增多以及时间的增加,服务器产生的日志文件也会越来越大,如果不对日志进行分割,那么只能一次将大的日志(如 Apache 的日志)整个删除,这样也丢失了很多对服务器比较宝贵的信息,因为这些日志可以用来进行访问分析、网络安全监察、网络运行状况监控等,因此管理好这些海量的日志对网站的意义是很大的。 Copyright ? 2011 Red Hat, rights reserved 哪些日志需要分割哪些日志需要分割对于 Linux 系统来说,主要的日志系统有三个: ?连接时间日志?进程统计日志?错误日志 Copyright ? 2011 Red Hat, rights reserved 连接时间日志连接时间日志连接时间日志由多个程序执行,把纪录写入到/var/log/wtmp 和/var/run/utmp , login 等程序更新 wtmp 和 utmp 文件,使系统管理员能够跟踪谁在何时登录到系统。 utmp 、 wtmp 和 lastlog 日志文件是多数 Linux 日志子系统的关键--保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件 utmp 中;数据交换、关机、重起、登录进入和退出纪录在文件 wtmp 中;最后一次登录文件可以用 lastlog 命令察看。所有的纪录都包含时间戳。这些文件在具有大量用户的系统中增长十分迅速。 Copyright ? 2011 Red Hat, rights reserved 进程统计日志进程统计日志 Linux 可以跟踪每个用户运行的每条命令,如果想知道昨晚弄乱了哪些重要的文件,进程统计子系统可以告诉你。它还对跟踪一个入侵者有帮助。与连接时间日志不同,进程统计子系统缺省不激活,它必须启动。在 Linux 系统中启动进程统计使用 accton 命令,而且必须用 root 身份来运行。而要运行 Accton 命令,必须要先创建日志文件 t 。[******@localhost ~]# touch /var/log/t [******@localhost ~]# accton /var/log/t 一旦 accton 被激活,就可以使用 m 命令监测系统中任何时候执行的命令。若要关闭统计,可以使用不带任何参数的 accton 命令。 Copyright ? 2011 Red Hat, rights reserved 错误日志错误日志错误日志无论在格式上还是内容上都与其他日志有所不同,然而错误日志也一样提供丰富的信息,我们可以利用这些信息分析服务器运行情况,哪里出现了问题。错误日志记录了服务器运行期间遇到的各种错误, 以及一些普通的诊断信息,比如服务器何时启动,何时关闭等。我们可以设置日志文件记录信息登记的高低,控制日志文件记录信息的数量和种类。 Copyright ? 2011 Red Hat, rights reserved 其他日志其他日志并不是说只有上面提到的这三种日志需要分割,普通的 Linux 系统计算机,上面三种日志都有, 还有像 web 服务器, ftp 服务器, squid 代理等等每天都有大量日志生成,这些都需要对日志进行分割操作。 Copyright ? 2011 Red Hat, rights reserved 日志分割的方法日志分割的方法知道了日志有哪些类型需要分割,那么接下来我们就了解一下日志分割的方法: ?通过第三方软件 cronolog 实现日志分割