1.概览
系统日志:
/var/log/messages 包括整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中。 /var/log/dmesg 内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。 /var/log/auth.log 系统授权信息,包括用户登录和使用的权限机制等。 /var/log/boot.log 系统启动日志。 /var/log/daemon.log 包含各种系统后台守护进程日志信息。 /var/log/dpkg.log 包括安装或dpkg命令清除软件包的日志。 /var/log/kern.log 包含内核产生的日志,有助于在定制内核时解决问题。 /var/log/lastlog 记录所有用户的最近信息。这不是一个ASCII文件,因此需要用lastlog命令查看内容。 /var/log/maillog /var/log/mail.log 邮件信息。例如,sendmail日志信息就全部送到这个文件中。 /var/log/user.log 用户信息的日志。 /var/log/Xorg.x.log 来自X的日志信息。 /var/log/alternatives.log 更新替代信息都记录在这个文件中。 /var/log/btmp 记录所有失败登录信息。使用last命令可以查看btmp文件。例如,”last -f /var/log/btmp | more“。 /var/log/cups 涉及所有打印信息的日志。 /var/log/anaconda.log 在安装Linux时,所有安装信息都储存在这个文件中。 /var/log/yum.log 包含使用yum安装的软件包信息。 /var/log/cron 每当cron进程开始一个工作时,就会将相关信息记录在这个文件中。 /var/log/secure 包含验证和授权方面信息。例如,sshd会将所有信息记录(其中包括失败登录)在这里。 /var/log/wtmp或/var/log/utmp 包含登录信息。使用wtmp可以找出谁正在登陆进入系统,谁使用命令显示这个文件或信息等。
应用日志
/var/log/httpd/或/var/log/apache2 包含服务器access_log和error_log信息。 /var/log/lighttpd/ 包含light HTTPD的access_log和error_log。 /var/log/mail/ 这个子目录包含邮件服务器的额外日志。 /var/log/prelink/ 包含.so文件被prelink修改的信息。 /var/log/audit/ 包含被 Linux audit daemon储存的信息。 /var/log/samba/ 包含由samba存储的信息。 /var/log/sa/ 包含每日由sysstat软件包收集的sar文件。 /var/log/sssd/ 用于守护进程安全服务。
2.详解
/var/log/messages
messages 日志是核心系统日志文件。它包含了系统启动时的引导消息,以及系统运行时的其他状态消息。IO 错误、网络错误和其他系统错误都会记录到这个文件中。其他信息,比如某个人的身份切换为 root,也在这里列出。如果服务正在运行,比如 DHCP 服务器,您可以在 messages 文件中观察它的活动。通常,/var/log/messages 是您在做故障诊断时首先要查看的文件。
/var/log/XFree86.0.log
这个日志记录的是 Xfree86 Xwindows 服务器最后一次执行的结果。如果您在启动到图形模式时遇到了问题,一般情况从这个文件中会找到失败的原因。
/var/log/boot.log
系统在引导过程中(开机自检)的信息
/var/log/cron
记录crontab守护进程crond所派生的子进程的动作,前面加上用 户、登录时间和PID,以及派生出的进程的动作。CMD的一个动作是cron派生出一个调度进程的常见情况。REPLACE(替换)动作记录用户对它的 cron文件的更新,该文件列出了要周期性执行的任务调度。 RELOAD动作在REPLACE动作后不久发生,这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。该文件可能会查 到一些反常的情况。
/var/log/maillog
记录了每一个接收或发出的电子邮件的活动。它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。该文件的格式:日期、主机名、程序名,后面是包含PID或内核标识的方括 号、冒号和空格,最后是消息。
/var/log/syslog
默认RedHat Linux不生成该日志文件,但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log/messages日志文件不同, 它只记录警告信息,常常是系统出问题的信息。要让系统生成该日志文件,在/etc/syslog.conf文件中加上: *.warning /var/log/syslog
该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息。
/var/log/secure
该日志文件记录与安全相关的信息。
/var/log/lastlog
该日志文件记录最近成功登录的事件和最后一次不成功的登录事件,由login生成。 在每次用户登录时被查询,该文件是二进制文件,需要使用 lastlog命令查看,根据UID排序显示登录名、端口号和上次登录时间。
/var/log/wtmp
该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此该文件会越来越大。last命令就通过访问这个文 件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端 tty或时间显示相应的记录。
/var/run/utmp
该 日志文件记录有关当前登录的每个用户的信息。它只保留当时联机的用户记录,不会为用户保留永久的记录。系统中需要查询当前用户状态的程序,如 who、w、users、finger等就需要访问这个文件。该日志文件并不能包括所有精确的信息,因为某些突发错误会终止用户登录会话,而系统没有及时 更新 utmp记录,因此该日志文件的记录不是百分之百值得信赖的。
【以上提及的3个文件(/var/log/wtmp、/var/run/utmp、 /var/log/lastlog)是日志子系统的关键文件,都记录了用户登录的情况。这些文件的所有记录都包含了时间戳。这些文件是按二进制保存的,故 不能用less、cat之类的命令直接查看这些文件,而是需要使用相关命令通过这些文件而查看。其中,utmp和wtmp文件的数据结构是一样的,而 lastlog文件则使用另外的数据结构,关于它们的具体的数据结构可以使用man命令查询。】
/var/log/xferlog
该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序,以及该用户拷贝了哪些文件供他使用。RedHat Linux默认没有记录该日志文件。要启用该日志文件,必须在/etc/syslog.conf文件中添加一行:kern.* /var/log/kernlog 。
3.命令相关
who命令
who命令查询utmp文件并报告当前登录的每个用户。who的默认输出包括用户名、终端类型、登录日期及远程主机。
w命令
w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。
users命令
users命令用单独的一行打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示相同的次数。
ac命令
ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连接的时间(小时),如果不使用标志,则报告总的时间。
lastlog命令
lastlog 文件在每次有用户登录时被查询。可以使用lastlog命令检查某特 定用户上次登录的时间,并格式化输出上次登录日志 /var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示 **Never logged**。注意需要以root身份运行该命令
accton命令
在Linux系统中启动进程统计使用 accton命令,必须用root身份来运行。
accton命令的形式为:accton file,file必须事先存在。
先使用touch命令创建pacct文件:touch /var/log/pacct,然后运行accton:accton /var/log/pacct。一旦accton被激活,就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计,可以使用不带任何 参数的accton命令。
astcomm命令报告以前执行的文件。不带参数时,lastcomm命令显示当前统计文件生命周期内记录的所有命令的有关信息。包括命令名、用户、tty、命令花费的CPU时间和一个时间戳。如果系统有许多用户,输入则可能很长。
参考资料--------------------https://www.cnblogs.com/linuxws/p/9020487.html