FreeBSD的系统log日志(2)

# Consult the syslog.conf(5) manpage.
*.err;kern.debug;auth.notice;mail.crit /dev/console
*.notice;kern.debug;lpr.info;mail.crit;news.err /var/log/messages
mail.info /var/log/maillog
lpr.info /var/log/lpd-errs
cron.* /var/cron/log
*.err root
*.notice;news.err root
*.alert root
*.emerg *
!ppp
*.* /var/log/ppp.log
　　syslog.conf的配置可以分为两个部分，第一部分用于区分消息的类型，另一个用于
设置消息发送的目的地。通常，消息的类型包括消息的产生者，例如kern表示内核产生
的消息，auth表示认证系统产生的消息，等等，还包括消息的级别，例如emerg表示非常
重要的紧急信息，alert表示系统告警状态，crit表示关键状态，err 表示一般的错误信
息，warning表示警告信息，notice表示提示信息，但还不是错误，info表示一般信息，
debug表示调试信息等，因此一个消息的类型可能为：kern.debug、mail.info等，但页
可以使用通配符*进行匹配。
　　从上面的syslog.conf的设置可以看出，系统正常运行中的很多重要的信息，如错误
信息*.err、内核调试信息kern.debuf、认证报告auth.notice等被直接输出的console中
，另外还有一些比较重要的信息被输出到/var/log/messages文件中，发送邮件的记录将
被保存在/var/log/mail log文件中，打印记录为/var/log/lpd-errs等，使得管理员可
以根据这些文件来查询相关记录，进行统计或寻找系统问题。其中使用syslog记录的me
ssages文件中包括root登录的信息、用户多次登录失败的尝试等对系统安全相当重要的
信息，因此也是系统遭受攻击之后，攻击者会根据syslog.conf中设置试图清除相关文件
中自己的登录记录。因此对于安全性要求更高的系统，可以尝试将syslog发送到另一台
计算机上，或者输出到一些设备文件中，如在打印机上立即打印输出。
　　系统会使用newsyslog定期检查syslog输出的messages文件和maillog文件，将旧数
据压缩保存为备份文件，如messages.1.gz等。
其他日志
　　除了系统登录记录和syslog记录之外，其他还有一些应用程序使用自己的记录方式
。
　　系统每天都会自动检查系统的安全设置，包括对SetUID、SetGID的执行文件的检查
，其结果将输出到/ var/log/security.today文件中，管理员可以与/var/log/securit
y.yeste rday文件对比，寻找系统安全设置的变化。
　　如果系统使用sendmail，那么sendmail.st文件中以二进制形式保存了sendmail的统
计信息。
　　在系统启动的时候，就将内核的检测信息输出到屏幕上，这些信息可以帮助用户分
析系统中的硬件状态。一般使用d mesg命令来查看最后一次启动时输出的这个检测信息
。这个信息也被系统保存在/var/log/dmesg.tod ay文件中，系统中同时也存在另一个文
件dmesg.yesterday，是上次的启动检测信息，对比这两个文件，就可以了解到系统硬件
和内核配置的变化。
　　lpd-errs记录了系统中lpd产生的错误信息。
　　此外，各种shell还会记录用户使用的命令历史，它使用用户主目录下的文件来记录
这些命令历史，通常这个文件的名字为.history（csh），或.bash-history等。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有