◆ⅠLogrotate
Logrotate是在大量Linux系統中非常流行的應用程序工具,包括所有的RedHat和基於SUSE的系統都使用它。Logrotate主要是由cron(一個任務調度程序)控制周期性運行。Logrotate會讀取日志文件(/ect/logrotate.conf),然後根據配置信息存檔和壓縮日志文件。系統管理員可以基於天數和大小來配置什麼時候需要轉儲日志文件,以及多長時間需要維護一次備份日志,這樣舊的存檔日志文件就可以被新的存檔日志代替。
◆Ⅱ Syslogd和klogd
典型的Linux系統利用一個叫syslogd的daemon後台程序,它從用戶空間應用程序捕獲日志信息,同時記錄成文本日志文件或是通過網絡發送到一個日志記載主機。Syslogd程序通常會伴隨著一個叫klogd的程序,klogd用來捕獲和記錄內核信息。
Syslogd程序的行為可以通過/etc/syslog.conf配置文件進行配置。所有由syslog捕獲的信息都根據facility和priority進行分類。然後這些信息就可以被發送到特殊的日志文件或日志記載主機,或者根據它們的facility(設備)和priority(行為級別)屬性完全拋棄。
◆Ⅲ Syslog-ng
Syslog-ng應用程序是傳統syslog daemon的增強移植實現。
它提供了很多與標准syslog daemon相同的特性,同時還包括一些附加特性,如基於內容的高級消息過濾功能,通過UDP或TCP的遠程日志記載,把日志寫進像MySQL或PostgreSQL這樣的數據庫。很多最近的基於SUSE的系統,如SLES10都已經改把syslog-ng作為缺省的syslog服務。
◆Ⅳ Viewing logs
Linux系統上的大部分日志文件都存儲成純文本,這就意味著可以通過使用大量不同的命令行工具進行查看和解析。典型的命令如tail,head,grep,cat,less,more,sed,more,sed和awk,使用這些命令可以通過命令行查看日志信息。
還有很多工具是通過GUI圖形接口或是web浏覽器來解析和查看日志文件。一些工具甚至可以處理特殊的日志格式,例如那些由Linux Netfilter防火牆子系統生成的日志文件。
GNOME System Log Viewer
GNOME系統包括一個基於GTK的系統日志觀測程序,這個程序通過GUI圖形界面展示系統日志。
YaST System Log Module
基於SUSE的系統使用包含View System Log模塊(也叫做view_anymsg)的YaST,與GNOME System Log viewer類似,YaST模塊允許系統管理員不使用命令行就可以觀測許多不同種類的系統日志
◆Ⅴ Log Analysis
LogWatch
Logwatch工具用來解析系統日志,定位任何可能預示安全隱患或是系統錯誤的數據,發送一個email到指定的地址。Logwatch與RetHat Enterprise Linux系統一起發布。以下是一個來自PRM描述的摘要
“LogWatch是一個可定制化日志分析系統。LogWatch可以解析給定時間段中的系統日志,並且建立一個詳細的報告分析你指定的區域。LogWatch容易使用,而且聲稱它可以在任何系統上正常工作。注意的是,LogWatch現在分析Samba日志。”
LogWatch主要通過cron周期性運行。
LogCheck:
Logcheck工具是Sentry Tools工程的一部分,Sentry Tools工程還包括portsentry——一個用來監測端口掃描的工具。與LogWatch工具類似,Logcheck用來解析系統日志,發現可能預示安全問題的數據,發送一個email到指定地址。Logcheck也像LogWatch一樣,依靠cron工具周期性執行。
