Linux系统日志介绍

2022-12-11 10:37:58 浏览数 (1)

默认日志类型可以分为三类:系统日志、登录日志和程序日志。不同类型的Linux系统对各日志存放路径及文件名页不尽相同,对于ubuntu和Centos系统默认将生成的日志保存在“/var/log”目录。除了系统默认⽇志外,RPM包安装的系统服务也会默认把⽇志记录放在/var/log/中,但这些并不由rsyslogd服务管理,⽽是各个服务⾃⾝的⽇志管理⽂档来记录。如表下所示为Linux系统的默认日志类型及其存放信息如下所示:

系统默认日志类型

‍/var/log/messages

记录Linux内核消息及各种应用程序的公共日志信息

/var/log/cron

记录 crond 计划任务产生的事件信息

var/log/dmesg

记录 Linux 操作系统在引导过程中的各种事件信息

/var/log/lastlog

记录每个用户最近的登录事件

/var/log/secure

记录用户认证相关的安全事件

/var/log/wtmp

记录每个用户登录、注销及系统启动和停机事件

/var/log/btmp

记录失败的、错误的登录尝试及验证事件

/var/log/boot.log

记录系统启动有关的日志文件

wtmp日志文件用于记录每个用户登录、注销及系统的启动、停机事件。可以利用wtmp日志文件来查看用户登录系统记录的信息。

>>> last -f /var/log/wtmp

btmp 日志文件用于记录远程登录系统失败的信息,如ssh协议远程登录系的用户名、协议类型、登录时间、IP地址等信息。

>>> sudo last -f /var/log/btmp

cron日志文件用于记录计划任务产生的事件信息。如定时任务执行的开始时间、结束时间、定时执行周期、执行的用户权限等。

>>> sudo cat /var/log/cron

secure日志文件用于记录用户认证相关的安全事件信息。如ssh登录用户成功与失败的时间、登录的用户名等。

>>> cat /var/log/secure

可以使用utmpdump命令行将二进制转成可编辑文件,查看日志内容:

>>> utmpdump /var/log/wtmp >/var/log/wtmp.file

可在每个用户根目录执行“cat .bash_history”查看历史命令:

>>> ls -all

>>> cat .bash_history

0 人点赞