商业源码 h3c 怎么开启syslog
syslog 不只是开启了这个命令就可以使用了,一般需要有一个日志服务器,需要这个服务器的IP地址,而且不同的设备其它功能,命令也有所不同,下面给你二个例子参考吧。H3C syslog配置 S8016的配置( VRP(R) Software, Version 310(NSSA), RELEASE 5331) S8016 新命令行设置日志服务器 info-center enable //打开信息中心 inf-center loghost host-ip-addr channel 2 facility local-number 设置日志主机的IP地址 info-center logging host host-ip-addr 设置日志主机的信息通道 info-center host host-ip-addr channel {channel-number|channel-name} 设置日志主记录工具 set logging host host-ip-addr facility local-number 取消向日志主机输出信息 undo info-center loghost host-ip-addr S3026配置(VRP (tm) Software, Version 310) logging on set logging host 133332 channel 2 language chinese facility local1
1、数据库服务器部署
yum install mariadb-server
systemctl start mariadbservice
mysql_secure_installation 运行安全脚本
2、日志服务器
yum install rsyslog-mysql
rpm -ql rsyslog-mysql
cat /usr/share/doc/rsyslog-mysql-5810/createDBsql
3 在数据库服务器上创建日志用户
grant all on Syslog to loguser@'1921688%' identified by 'magedu';
4 在日志服务器上通过MySQL创建日志数据库
mysql -uloguser -pmagedu -h1921688107 < /usr/share/doc/rsyslog-mysql-5810/createDBsql
5 在日志服务器上配置日志服务配置文件,使其可以支持连接数据库模块,并将本机日志关联至远程日志数据库
vim /etc/rsyslogconf
#### MODULES ####
$ModLoad ommysql
#### RULES ####
info;mailnone;authprivnone;cronnone
:ommysql:1921688107,Syslog,loguser,magedu
service rsyslog restart
6 logger 测试
此时logger触发日志时,日志服务器上的日志将会记录至远程数据库Syslog中
7、web服务器配置
yum install httpd php php-mysql php-gd
systemctl start httpd
tar xvf loganalyzer-415targz
cd loganalyzer-415/
mv src/ /var/www/html/log
cd /var/www/html/log
cat /root/loganalyzer-415/contrib/configuresh
cat /root/loganalyzer-415/contrib/securesh
touch configphp
chmod 666 configphp
在Linux系统中,有三个主要的日志子系统:
连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。
进程统计--由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
错误日志--由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。另外有许多Unix程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。
常用的日志文件如下:
Access-log 纪录HTTP/web的传输
acct/pacct 纪录用户命令
aculog 纪录MODEM的活动
btmp 纪录失败的纪录
lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录
messages 从syslog中记录信息(有的链接到syslog文件)
sudolog 纪录使用sudo发出的命令
sulog 纪录使用su命令的使用
syslog 从syslog中记录信息(通常链接到messages文件)
utmp 纪录当前登录的每个用户
wtmp 一个用户每次登录进入和退出时间的永久纪录
xferlog 纪录FTP会话
utmp、wtmp和lastlog日志文件是多数重用Unix日志子系统的关键--保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中;登录进入和退出纪录在文件wtmp中;最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。这些文件(lastlog通常不大)在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长,除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常,wtmp在第一天结束后命名为wtmp1;第二天后wtmp1变为wtmp2等等,直到wtmp7。
每次有一个用户登录时,login程序在文件lastlog中察看用户的UID。如果找到了,则把用户上次登录、退出时间和主机名写到标准输出中,然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后,utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用,包括who、w、users和finger。
下一步,login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时,具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。
具体命令
wtmp和utmp文件都是二进制文件,他们不能被诸如tail命令剪贴或合并(使用cat命令)。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。
who:who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如:who(回车)显示
chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15
如果指明了wtmp文件名,则who命令查询所有以前的纪录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。
w:w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如:w(回车)显示:3:36pm up 1 day, 22:34, 6 users, load average: 023, 029, 027。
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
chyang pts/0 2023868242 3:06pm 2:04 008s 004s -bash
ynguo pts/2 202387947 3:32pm 000s 014s 005 w
lewis pts/3 2023864233 1:55pm 30:39 027s 022s -bash
lewis pts/4 2023864233 1:35pm 600s 403s 001s sh /home/users/
ynguo pts/7 simbanicustce 2:12pm 000s 047s 024s telnet mail
ylou pts/8 2023864235 2:15pm 1:09m 010s 004s -bash
users:users用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数。例如:users(回车)显示:chyang lewis lewis ylou ynguo ynguo
last:last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如:
chyang pts/9 2023868242 Tue Aug 1 08:34 - 11:23 (02:49)
cfan pts/6 2023864224 Tue Aug 1 08:33 - 08:48 (00:14)
chyang pts/4 2023868242 Tue Aug 1 08:32 - 12:13 (03:40)
lewis pts/3 2023864233 Tue Aug 1 08:06 - 11:09 (03:03)
lewis pts/2 2023864233 Tue Aug 1 07:56 - 11:09 (03:12)
如果指明了用户,那么last只报告该用户的近期活动,例如:last ynguo(回车)显示:
ynguo pts/4 simbanicustce Fri Aug 4 16:50 - 08:20 (15:30)
ynguo pts/4 simbanicustce Thu Aug 3 23:55 - 04:40 (04:44)
ynguo pts/11 simbanicustce Thu Aug 3 20:45 - 22:02 (01:16)
ynguo pts/0 simbanicustce Thu Aug 3 03:17 - 05:42 (02:25)
ynguo pts/0 simbanicustce Wed Aug 2 01:04 - 03:16 1+02:12)
ynguo pts/0 simbanicustce Wed Aug 2 00:43 - 00:54 (00:11)
ynguo pts/9 simbanicustce Thu Aug 1 20:30 - 21:26 (00:55)
ac:ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间(小时),如果不使用标志,则报告总的时间。例如:ac(回车)显示:total 517747
ac -d(回车)显示每天的总的连结时间
Aug 12 total 26187
Aug 13 total 35139
Aug 14 total 39609
Aug 15 total 46263
Aug 16 total 27045
Aug 17 total 10429
Today total 17902
ac -p (回车)显示每个用户的总的连接时间
ynguo 19323
yUCao 335
rong 13340
hdai 1052
zjzhu 5287
zqzhou 1314
liangliu 2434
total 517824
lastlog:lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示"Never logged。注意需要以root运行该命令,例如:
rong 5 2023864187 Fri Aug 18 15:57:01 +0800 2000
dbb Never logged in
xinchen Never logged in
pb9511 Never logged in
xchen 0 2023864190 Sun Aug 13 10:01:22 +0800 2000
另外,可一加一些参数,例如,last -u 102将报告UID为102的用户;last -t 7表示限制上一周的报告。
进程统计
Unix可以跟踪每个用户运行的每条命令,如果想知道昨晚弄乱了哪些重要的文件,进程统计子系统可以告诉你。它对还跟踪一个侵入者有帮助。与连接时间日志不同,进程统计子系统缺省不激活,它必须启动。在Linux系统中启动进程统计使用accton命令,必须用root身份来运行。Accton命令的形式accton file,file必须先存在。先使用toUCh命令来创建pacct文件:toUCh /var/log/pacct,然后运行accton: accton /var/log/pacct。一旦accton被激活,就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计,可以使用不带任何参数的accton命令。
lastcomm命令报告以前执行的文件。不带参数时,lastcomm命令显示当前统计文件生命周期内纪录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户,输入则可能很长。下面的例子:
crond F root 000 seCS Sun Aug 20 00:16
promisc_checks S root 004 seCS Sun Aug 20 00:16
promisc_check root 001 seCS Sun Aug 20 00:16
grep root 002 seCS Sun Aug 20 00:16
tail root 001 seCS Sun Aug 20 00:16
sh root 001 seCS Sun Aug 20 00:15
ping S root 001 seCS Sun Aug 20 00:15
ping6pl F root 001 seCS Sun Aug 20 00:15
sh root 001 seCS Sun Aug 20 00:15
0条评论