系统日志管理

系统日志介绍

日志文件用于记录linux系统的各种运行信息的文件，相当于linux主机的日记，不同的日志文件记载了不同类型的信息,如Linux内核消息、用户登录事件、程序错误等。日志文件对于诊断和解决问题很有帮助，因为linux运行的程序通常把系统的消息和错误写入对应的日志文件，这样系统可以有据可查，此外,当主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹。

日志记录的内容包括：

历史事件：时间，地点，人物，事件
日志级别：事件的关键性程度，Loglevel

通常的日志文件的格式：

日志文件有很多，如： /var/log/messages,cron,secure等，基本格式都是类似的。

程序包：rsyslog

主程序：/usr/sbin/rsyslogd

CentOS 6：/etc/rc.d/init.d/rsyslog {start|stop|restart|status}

CentOS 7,8：/usr/lib/systemd/system/rsyslog.service

配置文件：/etc/rsyslog.conf，/etc/rsyslog.d/*.conf

库文件： /lib64/rsyslog/*.so

rpm -q rsyslog 查看有没有安装rsyslog，没有就yum install安装（rsyslog 配置文件：/etc/rsyslog.conf）

MODULES：相关模块配置
GLOBAL DIRECTIVES：全局配置
RULES：日志记录相关的规则配置

实践

1.将ssh服务日志单独存放

编辑rsyslog.conf文件

2.远程日志

远程日志，即通过网络，将本地的日志远程备份到另一台机器，这样，就算本机系统崩溃，我们可以查看另一台机器备份的日志，来排查故障。

（假设机器一需要将日志备份到机器二，那么机器一是发送方，他在rsyslog的配置文件中需要添加机器二的地址；机器二作为接收方，需要开启一个固定的端口来接收机器一发送的数据）

这里默认是将机器一的日志备份到机器二上的 /var/log/messages文件中

一、文件系统

1、inode和block概述元信息：每个文件的属性信息，比如：文件的大小，时间，类型，权限等，也称为文件的元数据(meta data) 元数据是存放在inode（index node）表中。inode 表中有很多条记录组成，第一条记录对应的存放了一个文件的元数据信息。文件数据包括元信息与实际数据。文件存储在硬盘上，硬盘最小存储单位是“扇区”，每个扇区存储512字节，其中第一个扇区为416字节

block（块）连续的八个扇区组成一个block，4k 是文件存取的最小单位 inode（索引节点）中文译名为“索引节点”，也叫 i 节点用于存储文件元信息一个文件必须占用一个inode ，至少占用一个block

2、 inode表结构

2.1 包含文件的元信息

文件的字节数（字节占用多少空间，也称文件大小）
文件拥有者的 User ID
文件的 Group ID
文件的读、写、执行权限
文件的时间戳（ctime、atime、mtime）
文件类型
链接数
有关文件的其他数据

2.2查看inode

ls -i 命令：查看文件名对应的inode号码
stat 命令：查看文件的inode信息 2.3 Linux系统文件三个主要的时间属性最近访问atime（access time)最后一次访问文件的时间。使用echo追加内容不会变，因为没有打开文件最近更改mtime（modify）：最后一次更改文件内容的时间。更改完内容之后，ctime也会改变最近改动ctime（change time）：最后一次改变文件元信息（文件或目录属性）的时间。改变后，mtime不变

2.4目录文件结构

目录是个特殊文件，目录文件的内容保存了此目录中文件的列表及inode number对应关系

inode不包含文件名，文件名是存放在目录文件夹当中的。Linux 系统中一切皆文件，因此目录也是一种文件是通过文件名来引用一个文件每个目录项由两部分组成：所包含文件的文件名，以及该文件名对应的inode号码。目录是目录下的文件名和文件inode号之间的映射每个inode都有一个号码，操作系统用inode号码来识别不同的文件 Linux系统内部不使用文件名，而使用inode号码来识别文件对于系统来说，文件名只是inode号码便于识别的别称