最近遇到配置centos 6.2的sshd及sftp日志,发现/etc/syslog.conf文件不存在,
然后:
#rpm -qa | grep syslog
出来的是
rsyslog-5.8.10-6.el6.x86_64
然后:
#cat /etc/rsyslog.conf
出来的内容几乎和以前的/etc/syslog.conf类似,然后百度,Google得出的结论是:
Rsyslog可作为系统自带产品syslog的替代品,目前fedra等多种Unix/Linux系列操作系统已经正式将rsyslog替换掉系统自带的syslog,所以CentOS 6以上版本都直接采用了rsyslog作为系统的日志服务。那它有什么特性呢?
1.后端存查日志支持的客户端多支持MySQL、PostgresSQL、Oracle 等
2.在同一台机器上支持多子rsyslog进程,可以监听在不同端口
3.直接兼容系统自带的syslog.conf配置文件
4.可将消息过来后再次转发
5.配置文件中可以写简单的逻辑判断
6.有现成的前端web展示程序
等等。
另外和rsyslog功能差不多还有syslog-ng,但是syslog-ng免费版本是闭源。
其次下面是整理的系统默认的日志分类记录文件说明:
1./var/log/lastlog
记录每个用户最近登录系统的时间, 可以通过lastlog指令读取
2./var/run/utmp
记录每个用户登录系统的时间, who、 users、finger 等指令会查这个文件
3./var/log/wtmp
记录每个用户登入与登出的时间, last这个指令会查这个文件。这个文件也记录 shutdown及reboot的动作
4./var/log/secure
ssh登录的记录信息包括失败的记录信息,可以通过查看些日志查看机器是否被人扫描
5./var/log/maillog
记录sendmail及pop等相关讯息
6./var/log/cron
记录crontab的相关信息
7./var/log/dmesg
dmesg会将这个文件显示出来,它是开机时的系统自检的信息,同时也会记录硬件错误信息
8./var/log/xferlog
记录ftp相关的日志信息
9./var/log/messages
系统大部份的日志信息,包括login、check password、failed login、ftp、su等等
最后修改了/etc/ssh/sshd_config,/etc/rsyslog.conf 还是老套路:
#/etc/init.d/rsyslog restart
#/etc/init.d/sshd restart
以上内容为xudianyang整理报道,谢谢阅读!Bye Bye!