Linux 日志分析工具(logwatch)安装及使用

日志是非常重要的系统文件,管理员每天的重要工作就是分析和查看服务器的日志,判断服务器的健康状态。但是日志管理又是一项非常枯燥的工作,如果需要管理员手工查看服务器上所有的日志,那实在是一项非常痛苦的工作。有些管理员就会偷懒,省略日志的检测工作,但是这样做非常容易导致服务器出现问题。

那么我们有取代的方案吗?有,那就是日志分析工具。这些日志分析工具会详细地查看日志,同时分析这些日志,并且把分析的结果通过邮件的方式发送给 root 用户。这样,我们每天只要查看日志分析工具的邮件,就可以知道服务器的基本情况,而不用挨个检查日志了。这样系统管理员就可以从繁重的日常工作中解脱出来,去处理更加重要的工作。

在 CentOS 中自带了一个日志分析工具,就是 logwatch。不过这个工具默认没有安装(因为我们选择的是“Basic Server”),所以需要手工安装。安装命令如下:

[root@localhost Packages]# yum -y install logwatch

安装完成之后,需要手工生成 logwatch 的配置文件。默认配置文件是 /etc/logwatch/conf/logwatch.conf,不过这个配置文件是空的,需要把模板配置文件复制过来。命令如下:

[root@localhost ~]# cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/logwatch.conf

#复制配置文件

这个配置文件的内容中绝大多数是注释,我们把注释去掉,那么这个配置文件的内容如下所示:

[root@localhost ~]# vi /etc/logwatch/conf/logwatch.conf

#查看配置文件

LogDir = /var/log

#logwatch会分析和统计/var/log/中的日志

TmpDir = /var/cache/logwatch

#指定logwatch的临时目录

MailTo = root

#日志的分析结果,给root用户发送邮件

MailFrom = Logwatch

#邮件的发送者是Logwatch,在接收邮件时显示

Print =

#是否打印。如果选择“yes”,那么日志分析会被打印到标准输出,而且不会发送邮件。我们在这里不打印,#而是给root用户发送邮件

#Save = /tmp/logwatch

#如果开启这一项,日志分析就不会发送邮件,而是保存在/tmp/logwatch文件中

#如果开启这一项,日志分析就不会发送邮件,而是保存在/tmp/logwatch文件中

Range = yesterday

#分析哪天的日志。可以识别“All”“Today”“Yesterday”,用来分析“所有日志”“今天日志”“昨天日志”

Detail = Low

#日志的详细程度。可以识别“Low”“Med”“High”。也可以用数字表示,范围为0~,“”代表最不详细,“”代表最详细

Service = All

#分析和监控所有日志

Service = "-zz-network"

#但是不监控“-zz-network”服务的日志。“-服务名”表示不分析和监控此服务的日志

Service = "-zz-sys"

Service = "-eximstats"

这个配置文件基本不需要修改(我在实验时把 Range 项改为了 All,否则一会儿的实验可以分析的日志过少),它就会默认每天执行。它为什么会每天执行呢?聪明的读者已经想到了,一定是 crond 服务的作用。没错,logwatch 一旦安装,就会在 /etc/cron.daily/ 目录中建立“0logwatch”文件,用于在每天定时执行 logwatch 命令,分析和监控相关日志。

如果想要让这个日志分析马上执行,则只需执行 logrotate 命令即可。命令如下:

[root@localhost ~]# logwatch

#马上执行logwatch日志分析工具

[root01ocalhost ~]# mail

#查看邮件

Heirloom Mail version 12.4 //. Type ? for help, "/var/spool/mail/root":  messages  new  unread

 logwatch@localhost. Fri Jun  : / "Logwatch for localhost.localdomain (Linux)"

U  logwatch@localhost. Fri Jun  : / "Logwatch for localhost.localdomain (Linux)"

 logwatch@localhost. Fri Jun  : / "Logwatch for localhost.localdomain (Linux)"

 logwatch@localhost. Fri Jun  : / "Logwatch for localhost.localdomain (Linux)"

 logwatch@localhost. Fri Jun  : / "Logwatch for localhost.localdomain (Linux)"

>N  logwatch@localhost. Fri Jun  : / "Logwatch for localhost.localdomain (Linux)"

#第6封邮件就是刚刚生成的曰志分析邮件,"N"代表没有查看

&

Message :

From root@localhost.localdomain Fri Jun  ::  Return-Path: <root@localhost.localdomain>

X-Original-To: root

Delivered-To: root@localhost.localdomain

To: root@localhost.localdomain

From: logwatch@localhost.localdomain

Subject: Logwatch for localhost.localdomain (Linux)

Content-Type: text/plain; charset="iso-8859-1"

Date: Fri,  Jun  :: + (CST)

Status: R

######## Logwatch 7.3. (//) ################

Processing Initiated: Fri Jun  ::

Date Range Processed: all

Detail Level of Output:

Type of Output: unformatted

Logfiles for Host: localhost.localdomain

###################################################

#上面是曰志分析的时间和日期

...省略部分输出...

--------- Connections (secure-log) Begin-----------

#分析secure.log日志的内容。统计新建立了哪些用户和组,以及错误登录信息 New Users:

    bb ()

    def ()

    hjk ()

    zhangsan ()

    dovecot ()

    dovenull ()

    aa ()

New Groups:

    bb ()

    def ()

    hjk ()

    zhangsan ()

    dovecot ()

    dovenull ()

    aa ()

Failed logins:

    User root:

    (null):  Time(s)

Root logins on tty's: 7 Time(s).

**Unmatched Entries**

groupadd: group added to /etc/group: name=dovecot, GID=:  Time(s)

groupadd: group added to /etc/group: name=dovenul1, GID=:  Time(s)

groupadd: group added to /etc/gshadow: name=dovecot:  Time(s)groupadd: group added to /etc/gshadow: name=dovenull:  Time(s)

--------Connections (secure-log)End-------

-------------SSHD Begin-------------------

#分析SSHD的日志。可以知道哪些IP地址连接过服务器

SSHD Killed:  Time(s)

SSHD Started:  Time(s)

Users logging in through sshd:

192.168.0.104:  times

192.168.0.108:  times

192.168.0.101:  times

192.168.0.126:  times

192.168.0.100:  times

192.168.0.105:  times

192.168.0.106:  times

192.168.0.102:  time

192.168.0.103:  time

SFTP subsystem requests: . Time(s)

**Unmatched Entries**

Exiting on signal  :  time(s)

----------------SSHD End-----------

--------------- yum Begin ---------

#统计yum安装的软件。可以知道我们安装了哪些软件

Packages Installed:

    perl-YAML-Syck-1.07-.el6.i686

    perl-Date-Manip-6.24-.el6.noarch

    logwatch-7.3.-.el6.noarch

-----------yum End-------------

--------Disk Space Begin-------

#统计磁盘空间情况

Filesystem Size Used Avail Use% Mounted on

/dev/sda3 20G .9G 17G % /

/dev/sda1 194M 26M 158M % /boot

/dev/sr0 .5G .5G  % /mnt/cdrom

---------Disk Space End-----------------

#########Logwatch End ##################

有了这个日志分析工具,日志管理工作就会轻松很多。当然,在 Linux 中可以支持很多日志分析工具,我们在这里只介绍了 CentOS 自带的 logwatch,大家可以根据自己的习惯选择相应的日志分析工具。

Linux 日志分析工具(logwatch)安装及使用的更多相关文章

  1. Linux 日志分析工具之awstats

    一.awstats 是什么 官方网站:AWStats is a free powerful and featureful tool that generates advanced web, strea ...

  2. Linux性能分析工具的安装和使用

    转自:http://blog.chinaunix.net/uid-26488891-id-3118279.html Normal 0 7.8 磅 0 2 false false false EN-US ...

  3. 可视化日志分析工具Gltail的安装与使用

    可视化日志分析工具Gltail的安装与使用      GlTail.rb 是一款带有浓郁的 Geek 风格的可视化日志分析工具,它采用 Ruby 技术构建,并利用 OpenGL 图形技术进行渲染,呈现 ...

  4. 《Unix/Linux日志分析与流量监控》书稿完成

    <Unix/Linux日志分析与流量监控>书稿完成 近日,历时3年创作的75万字书稿已完成,本书紧紧围绕网络安全的主题,对各种Unix/Linux系统及网络服务日志进行了全面系统的讲解,从 ...

  5. 可视化实时Web日志分析工具-goaccess

    说到web服务器就不得不说Nginx,目前已成为企业建站的首选.但由于种种历史原因,Nginx日志分析工具相较于传统的apache.lighthttp等还是少很多. 今天就和大家分享一个非常强大的实时 ...

  6. Linux日志分析的实战专题

      来自 日志也是用户应该注意的地方之一.不要低估日志文件对网络安全的重要作用,因为日志文件能够详细记录系统每天发生的各种各样的事件.用户可以通过日志文件 检查错误产生的原因,或者在受到攻击和黑客入侵 ...

  7. PostgreSQL日志分析工具

    PostgreSQL日志分析工具 postgresqllinux PostgreSQL日志审计可以配合 pgbench.jmeter...测试工具制定测试计划测试性能,由于日志审计比较影响性能,在不需 ...

  8. 日志分析工具ELK配置详解

    日志分析工具ELK配置详解 一.ELK介绍 1.1 elasticsearch 1.1.1 elasticsearch介绍 ElasticSearch是一个基于Lucene的搜索服务器.它提供了一个分 ...

  9. GoAccess日志分析工具使用文档

    ----Sevck 2016/3/4 17:24:13 #1软件说明: GoAccess是一款开源.实时,运行在命令行终端下的web日志分析工具.该工具提供快速.多样的HTTP状态统计,可以令管理员不 ...

随机推荐

  1. OSG addEventHandler W键显示网格 L键控制光照 F键切换全屏窗口 S键显示统计数据 事件处理器

    #include <osgGA/StateSetManipulator> #include <osgViewer/ViewerEventHandlers> // add the ...

  2. ListView.setDivider,自定义的Devider

    ListView lv = getListView(); ColorDrawable sage = new ColorDrawable(this.getResources().getColor(R.c ...

  3. you *might* want to use the less safe log_bin_trust_function_creators variable

    报错:you *might* want to use the less safe log_bin_trust_function_creators variable 解决方法如下: 1. mysql&g ...

  4. 170314、工具:apache httpClient多线程并发情况下安全实用及工具类分享

    简单用法介绍:介绍来源网络 建立连接:在HttpClient中使用多线程的一个主要原因是可以一次执行多个方法.在执行期间,每一个方法都使用一个HttpConnection实例.由于在同一时间多个连接只 ...

  5. json序列化懒加载问题

    如果框架使用了json序列化对象,当配置了hibernate懒加载时,可能会抛出异常,或者出现N+1的问题,或者出现无限循环的问题.网上很多解决方案, 基本是这些:@JsonIgnore忽略可能出问题 ...

  6. Logstash之时区问题的建议和修改---filter---and duplicate resolution.

    2. logstash es duplicate https://logstash.jira.com/browse/LOGSTASH-1875 https://logstash.jira.com/br ...

  7. Gartner提出的7种多租户模型

    下面,我们就来看看在SaaS应用搭建过程中,可以采用什么样的多租户模型.从而能较为清晰地了解未来使用PaaS平台开发的SaaS,可以为用户提供哪些多租户的服务.        Gartner提出了7种 ...

  8. (转)聊聊Servlet、Struts1、Struts2以及SpringMvc中的线程安全

    前言 很多初学者,甚至是工作1-3年的小伙伴们都可能弄不明白?servlet Struts1 Struts2 springmvc 哪些是单例,哪些是多例,哪些是线程安全? 在谈这个话题之前,我们先了解 ...

  9. RESTful HTTP的实践(转)

    add by zhj: 文章有点老了,2009年的,到现在已经六年了,不过还是很有参考价值的. 另外,吐槽一下PUT method,竟然允许用户用实例号来创建,靠,这也行,实例号还是后台来定义比较方便 ...

  10. Flask之flask-migrate

    简介 flask-migrate是flask的一个扩展模块,主要是扩展数据库表结构的. 官方文档:http://flask-migrate.readthedocs.io/en/latest/ 使用fl ...