怎么处理Linux不小心删除日志文件syslog

1 syslogd的配置文件

syslogd的配置文件/etc/syslog.conf规定了系统中需要监视的事件和相应的日志的保存位置

cat /etc/syslog.conf

# Log all kernel messages to the console.

# Logging much else clutters up the screen.

#kern.* /dev/console

# Log anything (except mail) of level info or higher.

# Don't log private authentication messages!

*.infomail.noneauthpriv.nonecron.none /var/log/messages #除了mail/news/authpriv/cron以外,将info或更高级别的消息送到/var/log/messages,其中*是通配符,代表任何设备none表示不对任何级别的信息进行记录

# The authpriv file has restricted access.

authpriv.* /var/log/secure #将authpirv设备的任何级别的信息记录到/var/log/secure文件中,这主要是一些和认证,权限使用相关的信息.

# Log all the mail messages in one place.

mail.* -/var/log/maillog #将mail设备中的任何级别的信息记录到/var/log/maillog文件中, 这主要是和电子邮件相关的信息.

# Log cron stuff

cron.* /var/log/cron #将cron设备中的任何级别的信息记录到/var/log/cron文件中, 这主要是和系统中定期执行的任务相关的信息.

# Everybody gets emergency messages

*.emerg * #将任何设备的emerg级别或更高级别的消息发送给所有正在系统上的用户.

# Save news errors of level crit and higher in a special file.

uucp,news.crit /var/log/spooler #将uucp和news设备的crit级别或更高级别的消息记录到/var/log/spooler文件中.

# Save boot messages also to boot.log

local7.* /var/log/boot.log #将和本地系统启动相关的信息记录到/var/log/boot.log文件中.

跟踪估计需要写底层的程序，你可以通过修改rm来进行跟踪，但是比较复杂

而且你还需要重新编译rm，这样比较复杂。

你可以通过记录rm命令的使用情况，记录的方式可以重新写个调用rm命令的脚本

放到执行目录下，当执行rm命令时，记录使用者，及其时间和登录IP.这种shell脚本很多

你可以百度一下，检查一下日志的所有者权限，针对有可能读写日志的用户进行监控。

缩小日志读写 *** 作范围。因为具体不知道你被删的是那些日志文件，而且是怎么删除的，

是日志消失了。还是日志存在但是被清空了。你也可以写个脚本对这个日志文件进行监控，

针对不同情况，当发生问题时告警，因为不知道你的具体情况不好分析，我只能简单的说说。

---