ubuntu怎样触发日志记录功能

Ubuntu 触发日志记录的可行方法

一 系统日志服务 rsyslog 的启用与触发

• 确认并启动服务：sudo apt update & & sudo apt install -y rsyslog；sudo systemctl start rsyslog；sudo systemctl enable rsyslog。
• 触发方式：
  • 内核消息：执行命令如 dmesg 或故意触发内核日志（如 modprobe 不存在模块）会自动写入 /var/log/kern.log。
  • 认证事件：执行 su - 或 sudo 等提权操作，会写入 /var/log/auth.log。
  • 计划任务：运行 crontab -e 并添加任务，执行后可在 /var/log/cron.log 或 /var/log/syslog 看到记录。
  • 自定义日志：在任意脚本或命令行使用 logger “your message”，会进入 /var/log/syslog（或按 rsyslog 规则写入指定文件）。
• 常用查看：tail -f /var/log/syslog；tail -f /var/log/auth.log；tail -f /var/log/kern.log；tail -f /var/log/cron.log。

二 程序日志与 systemd 的 journal 记录

• 大多数由 systemd 管理的服务，直接使用 journalctl -u 服务名 即可查看其标准输出与错误输出（journald 已自动收集）。
• 自研程序可写入 systemd 日志：在代码中使用 sd_journal_print() 输出不同级别日志（如 LOG_INFO、LOG_ERR），然后用 journalctl 检索；也可结合 rsyslog 将结构化日志写入文件。
• 示例检索：journalctl -u nginx -f；journalctl --since “2026-01-04 00:00:00”。

三 审计日志 auditd 触发关键操作记录

• 安装与启动：sudo apt install -y auditd audispd-plugins；sudo systemctl start auditd；sudo systemctl enable auditd。
• 触发方式：
  • 文件/目录监控：sudo auditctl -w /var/www -p wa -k web_monitor（监控写入与属性更改）。
  • 查看审计日志：sudo ausearch -k web_monitor；或 ausearch -m path -ts recent。
• 典型用途：记录对敏感目录的访问、关键配置文件变更、提权行为等。

四 用户命令审计与 Bash 历史增强

• 进程记帐（acct/psacct）：sudo apt install -y acct；sudo systemctl start acct；sudo systemctl enable acct。触发后可用 lastcomm 查看历史命令统计。
• Bash 实时写入 syslog：在 /etc/profile.d/cmdlog.sh 中加入
  export PROMPT_COMMAND=‘logger -t bash_cmd “$(whoami)@$(tty): $(history 1 | sed “s/^[ ][0-9]+[ ]//”)”’; source /etc/profile.d/cmdlog.sh
  之后每个交互式命令都会通过 logger 写入 /var/log/syslog。

五 日志轮转与保留策略

• 系统自带 logrotate 定期切割与压缩日志，配置位于 /etc/logrotate.conf 与 /etc/logrotate.d/。
• 示例（对 syslog 轮转）：编辑 /etc/logrotate.d/rsyslog，设置如
  /var/log/syslog { weekly; missingok; rotate 52; compress; delaycompress; notifempty; create 0640 root adm }
• 修改后无需重启，由 cron 每日任务自动触发轮转。

声明：本文内容由网友自发贡献，本站不承担相应法律责任。对本内容有异议或投诉，请联系2913721942#qq.com核实处理，我们将尽快回复您，谢谢合作！