Linux系统日志介绍
默认日志类型可以分为三类:系统日志、登录日志和程序日志。不同类型的Linux系统对各日志存放路径及文件名页不尽相同,对于ubuntu和Centos系统默认将生成的日志保存在“/var/log”目录。除了系统默认⽇志外,RPM包安装的系统服务也会默认把⽇志记录放在/var/log/中,但这些并不由rsyslogd服务管理,⽽是各个服务⾃⾝的⽇志管理⽂档来记录。如表下所示为Linux系统的默认日志类型及其存放信息如下所示:
系统默认日志类型
/var/log/messages记录Linux内核消息及各种应用程序的公共日志信息/var/log/cron记录 crond 计划任务产生的事件信息var/log/dmesg记录 Linux 操作系统在引导过程中的各种事件信息/var/log/lastlog记录每个用户最近的登录事件/var/log/secure记录用户认证相关的安全事件/var/log/wtmp记录每个用户登录、注销及系统启动和停机事件/var/log/btmp记录失败的、错误的登录尝试及验证事件/var/log/boot.log记录系统启动有关的日志文件
wtmp日志文件用于记录每个用户登录、注销及系统的启动、停机事件。可以利用wtmp日志文件来查看用户登录系统记录的信息。
>>> last -f /var/log/wtmp
btmp 日志文件用于记录远程登录系统失败的信息,如ssh协议远程登录系的用户名、协议类型、登录时间、IP地址等信息。
>>> sudo last -f /var/log/btmp
cron日志文件用于记录计划任务产生的事件信息。如定时任务执行的开始时间、结束时间、定时执行周期、执行的用户权限等。
>>> sudo cat /var/log/cron
secure日志文件用于记录用户认证相关的安全事件信息。如ssh登录用户成功与失败的时间、登录的用户名等。
>>> cat /var/log/secure
可以使用utmpdump命令行将二进制转成可编辑文件,查看日志内容:
>>> utmpdump /var/log/wtmp >/var/log/wtmp.file
可在每个用户根目录执行“cat .bash_history”查看历史命令:
>>> ls -all
>>> cat .bash_history
