四、日志文件的管理技巧
根据系统上发生的事件数量和为应用程序设定的日志信息详细程度,日志文件可能会在很短的时间内就变得非常大。迟早会有一天,需要轮转使用日志文件。有一个非常有用也非常容易配置的工具可以帮你安排好日志文件的轮转工作,它就是logrotate。logrotate工具已经出现了很多年,Linux的各种最新版本都默认地在根用户的crontab计划任务表里安排它每天运行一次。logrotate工具的选项非常多,但因为篇幅有限,这里只能简要介绍它的基本用法。
首先,logrotate工具支持日志文件的自动轮转、压缩、删除以及通过电子邮件发送各种系统日志文件或应用程序日志文件。其次,logrotate工具有一个默认的配置文件/etc/logrotate.conf。logrotate工具支持多配置文件;若是配置文件里的定义发出冲突,本地定义将覆盖全局定义、后面的定义将覆盖前面的定义。logrotate工具允许人们在命令行给出任意数目的配置文件。在配置文件里,还可以用include指令调用其他的配置文件。因为配置文件和配置项的先后顺序将影响最终的结果配置,所以在制定日志轮转方案时一定要把先后顺序考虑清楚。应用程序日志文件的logrotate轮转配置文件都集中存放在/etc/logrotate.d/子目录里。
窍门:如果已经建立了中央日志服务器,可以让logrotate工具简单地删除本地日志文件而不是轮转使用它们,这个任务可以用一个等于rotate时间的maxage设置来完成。在激活这个选项之前,确保本地日志被发往中央日志服务器。因为logrotate工具通常是作为一项每日一次的cron计划任务来运行的,所以它在一天之内不会对日志文件做修改——除非日志文件的长度超过了预定的限度或者你决定让logrotate工具每天运行一次以上。如果因为测试或其他原因强行让logrotate工具执行某种操作,可以使用“logrotate-f”或“logrotate--force”命令。
五、其他系统日志文件
有两个系统日志文件与syslog守护进程完全无关:/var/run/utmp和/var/log/wtmp。这两个日志文件记录的是系统登录事件。utmp文件记录着系统的当前状态,finger、write或who等命令都会用到这个文件。utmp文件的man文档警告说,很多系统程序都“愚蠢地依赖本文件的完整性”而从未考虑过如果utmp文件变成一个全局可写的文件时该怎么办。/var/log/wtmp文件记录着系统登录信息。如果你想知道哪些人登录过系统、登录活动有什么规律,这个文件可是无价之宝。这个文件是一个二进制文件,所以不能用文本编辑器查看它的内容信息。要想查看utmp文件的内容,可以使用“last|more”命令,这可以查看到当前系统里有哪些已经登录的用户以及他们从哪里登录进来。如果这个文件莫名其妙地变成了空白或者根本不存在,就是一个你已经被“黑”的信号。截断或删除这些文件是攻击者试图掩盖踪迹时的一种常用伎俩。
六、防止日志信息过载的准则
1.取得适合自己的工具
优秀的工具可以最大限度的节省时间,它们可以分类管理日志信息、在日志信息中进行复杂的条件搜索、根据管理员设定的条件自动分拣需要的信息并反馈给管理员等。 就一般日志系统来说,基于不同的技术架构有不同的工具可供选择,应尽量选择与自己的基础设施匹配的管理工具。 这意味着如果企业应用的基础管理设施应用了很多开放源代码的产品,那么同样地在管理工具上也应优先开源解决方案,这样往往可以更好地实现融合、更多地从开源社区获取力量同时降低经济投入。另外,还有一些增强的Syslog工具可供使用,最著名的是Syslog-NG,这是对传统Syslog的一个增强版本,弥补了传统Syslog不支持身份验证、只能使用UDP(用户数据报协议,是ISO参考模型中一种无连接的传输层协议)进行不可靠传输等问题。在应用这类工具时需要注意平衡先进功能与兼容性,以防止基于Syslog的设备不能与Syslog-NG协同工作这样的问题。
以合理的规范组织日志信息:
当日志信息达到极大的数量时,分类是必要的,但一定要注意制订灵活的、容易变更的分类规范。一般在一个分类体系当中,不要应用过多的分类维度。通常应用日志源、日志事件类型、重要程度等几个基本的维度是可以构建有效的日志分类体系的,过多的维度会使得日志信息难于管理,那样做的话管理员必须在处理大量信息的同时兼顾更多的关于分类的信息。
订立可度量的评估规则:
例如管理员ABC设定他每天处理系统管理日志信息的时间不超过总工作时间的20%、处理用户提交问题的时间不超过总工作时间的15%(包含回复问题)、处理企业制度变更等原因造成的信息不超过总工作时间的5%。这样管理员ABC可以更好的进行自我管理并平衡工作时间与信息量。
一般来说,当处理信息的时间超过了自己的旧有评估指标时,很可能意味着系统中出现了新的问题,或者管理员采取的工作方法已经不适合当前的工作环境变化,这样管理员可以及时做出调整。
