Linux syslog过大，手动清理

手动清理syslog（可能syslog过大的情况）:

方法：

到/var/log/目录下rm大文件 cd /var/log &&rm -f syslog

重启syslog服务 service syslog restart

1 syslogd的配置文件

syslogd的配置文件/etc/syslog.conf规定了系统中需要监视的事件和相应的日志的保存位置

cat /etc/syslog.conf

# Log all kernel messages to the console.

# Logging much else clutters up the screen.

#kern.* /dev/console

# Log anything (except mail) of level info or higher.

# Don't log private authentication messages!

*.infomail.noneauthpriv.nonecron.none /var/log/messages #除了mail/news/authpriv/cron以外,将info或更高级别的消息送到/var/log/messages,其中*是通配符,代表任何设备none表示不对任何级别的信息进行记录

# The authpriv file has restricted access.

authpriv.* /var/log/secure #将authpirv设备的任何级别的信息记录到/var/log/secure文件中,这主要是一些和认证,权限使用相关的信息.

# Log all the mail messages in one place.

mail.* -/var/log/maillog #将mail设备中的任何级别的信息记录到/var/log/maillog文件中, 这主要是和电子邮件相关的信息.

# Log cron stuff

cron.* /var/log/cron #将cron设备中的任何级别的信息记录到/var/log/cron文件中, 这主要是和系统中定期执行的任务相关的信息.

# Everybody gets emergency messages

*.emerg * #将任何设备的emerg级别或更高级别的消息发送给所有正在系统上的用户.

# Save news errors of level crit and higher in a special file.

uucp,news.crit /var/log/spooler #将uucp和news设备的crit级别或更高级别的消息记录到/var/log/spooler文件中.

# Save boot messages also to boot.log

local7.* /var/log/boot.log #将和本地系统启动相关的信息记录到/var/log/boot.log文件中.

鸟哥在书中介绍了这样的一种环境。公室内有10台Linux主机，每一台负责一个网络服务。为了无需登录每台主机去查看登录文件，需要设置一台syslog服务器，其他主机的登录文件都发给它。这样做的话，只需要登录到syslog服务器上就能查看所有主机的登录文件。RedHat上的设置方法，鸟哥已经介绍了。【服务器端】step1：查看服务器是否开启了UDP514端口grep'514'/etc/servicesstep2：修改syslogd的启动设置文件/etc/sysconfig/syslog将SYSLOGD_OPTIONS="-m0"修改成SYSLOGD_OPTIONS="-m0-r"step3：重启syslogd服务/etc/init.d/syslogrestart重启后，你会发现UDP514端口已经打开。ProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programnameudp000.0.0.0:5140.0.0.0:*5628/syslogd【客户端】step1：在/etc/syslog.conf中，添加下行。user.*@192.168.0.Y#syslog服务器的IP地址在Ubuntu中配置syslogd服务器的方法类似。step1：查看服务器是否开启了UDP514端口，有下面一行说明端口514被打开，没有需要加入#grep'514'/etc/services184:shell514/tcpcmd#nopasswordsused185:syslog514/udpstep2：修改/etc/init.d/sysklogd，将SYSLOGD=""修改成SYSLOGD="-r"step3：修改/etc/default/syslogd，将SYSLOGD=""修改成SYSLOGD="-r"step4：重启服务/etc/init.d/sysklogdrestartstep5：验证在/var/log/messages中找到May123:31:59flagonxia-desktopsyslogd1.5.0#5ubuntu3:restart(remotereception)#netstat-tlunp得到syslogd服务正在监听端口514udp000.0.0.0:5140.0.0.0:*3912/syslogdstep6：假设syslog服务器的IP地址：192.168.1.25，在其他主机上的/etc/syslog.conf中加入*.*@192.168.1.25注：/etc/syslog.conf文件的解析日志文件按/etc/syslog.conf配置文件中的描述进行组织。下图是/etc/syslog.conf文件的内容：[root@localhost~]#cat/etc/syslog.conf#Logallkernelmessagestotheconsole.#Loggingmuchelsecluttersupthescreen.#kern.*/dev/console#Loganything(exceptmail)oflevelinfoorhigher.#Don'tlogprivateauthenticationmessages!*.infomail.noneauthpriv.nonecron.none/var/log/messages#Theauthprivfilehasrestrictedaccess.authpriv.*/var/log/secure#Logallthemailmessagesinoneplace.mail.*-/var/log/maillog#Logcronstuffcron.*/var/log/cron#Everybodygetsemergencymessages*.emerg*#Savenewserrorsoflevelcritandhigherinaspecialfile.uucp,news.crit/var/log/spooler#Savebootmessagesalsotoboot.loglocal7.*/var/log/boot.logsyslog.conf行的基本语法是：[消息类型][处理方案]注意：中间的分隔符必须是Tab字符！消息类型是由"消息来源"和"紧急程度"构成，中间用点号连接。例如上图中，news.crit表示来自news的“关键”状况。在这里，news是消息来源，crit代表关键状况。通配符*可以代表一切消息来源。说明：第一条语句*.info，将info级以上（notice,warning,err,crit,alert与emerg）的所有消息发送到相应日志文件。日志文件类别（按重要程度分类）日志文件可以分成八大类，下面按重要性从大到下列出：emergemergency，紧急alert警报critcritical，关键errerror，错误warning警告notice通知info信息debug调试简单列一下消息来源auth认证系统，如login或su，即询问用户名和口令cron系统执行定时任务时发出的信息daemon某些系统的守护程序的syslog，如由in.ftpd产生的logkern内核的信息lpr打印机的信息mail处理邮件的守护进程发出的信息mark定时发送消息的时标程序news新闻组的守护进程的信息user本地用户的应用程序的信息uucpuucp子系统的信息*表示所有可能的信息来源处理方案"处理方案"选项可以对日志进行处理。可以把它存入硬盘，转发到另一台机器或显示在管理员的终端上。处理方案一览：文件名写入某个文件，要注意绝对路径。@主机名转发给另外一台主机的syslogd程序。@IP地址同上，只是用IP地址标识而已。/dev/console发送到本地机器屏幕上。*发送到所有用户的终端上。|程序通过管道转发给某个程序。例如：kern.emerg/dev/console(一旦发生内核的紧急状况，立刻把信息显示在控制台上)说明：如果想修改syslogd的记录文件，首先你必须杀掉syslogd进程，在修改完毕后再启动syslogd。攻击者进入系统后通常立刻修改系统日志，因此作为网管你应该用一台机器专门处理日志信息，其他机器的日志自动转发到它上面，这样日志信息一旦产生就立刻被转移，这样就可以正确记录攻击者的行为。

---