Linux系统日志的三种类型
一、内核及系统日志
内核及系统日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中有相当一部分程序会把日志文件交由rsyslog管理,因而这些程序使用的日志记录也具有相似的格式。
日志级别
日志采集格式
| 命令 | 说明 |
|---|---|
| %timegenerated% | 显示日志时间 |
| %FROMHOST-IP% | 显示主机ip |
| %syslogtag% | 日志记录目标 |
| %msg% | 日志内容 |
| 换行 |
常用系统日志
/var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息
/var/log/cron:记录 crond 计划任务产生的事件信息
/var/log/dmesg:记录 Linux 操作系统在引导过程中的各种事件信息
/var/log/maillog:记录进入或发出系统的电子邮件活动
/var/log/lastlog:记录每个用户最近的登录事件
/var/log/secure:记录用户认证相关的安全事件信息
/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件
/var/log/btmp:记录失败的、错误的登录尝试及验证事件
/var/log/boot.log:与系统启动有关的日志文件
其他实用命令
last
last
-a 把从何处登入系统的主机名称或ip地址,显示在最后一行。
-d 指定记录文件。指定记录文件。将IP地址转换成主机名称。
-f <记录文件> 指定记录文件。
-n <显示列数>或-<显示列数> 设置列出名单的显示列数。
-R 不显示登入系统的主机名称或IP地址。
-x 显示系统关机,重新开机,以及执行等级的改变等信息
以下看所有的重启、关机记录
last | grep reboot
last | grep shutdown
lastb
lastb命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。
二、用户日志
这种日志数据用于记录Linux操作系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。
三、程序日志
有些应用程序会选择由自己独立管理一份日志文件,用于记录本程序运行过程中的各种事件信息,而不是交给rsyslog服务管理。由于这些程序只负责管理自己的日志文件,因此不同程序所使用的日志记录格式可能会存在较大的差异。
