1. 程式人生 > >Linux中常見日誌文件的介紹

Linux中常見日誌文件的介紹

重新啟動 計算機 tmp 引導 syslog linux 消息 可能 錯誤

/var / log / cron:記錄crond計劃任務相關的時間信息;

一、內核及系統日誌分析

/var / log / messages:記錄Linux內核消息及各種應用程序的公共日誌信息,包括啟動、I/O錯誤、網絡錯誤、程序故障等。對於未使用獨立日誌文件的應用程序或服務,一般都可以在該日誌文件中獲得相關信息。

/var /log /dmesg:記錄Linux操作系統在引導過程中的各種事件信息;

/var / log / maillog:記錄進入或發出系統的電子郵件活動;

/var / log /lastlog:記錄每個用戶最近的登陸事件;

/var / log / secure:記錄用戶認證相關的安全事件信息;

/var /log /wtmp:記錄每個用戶登錄、註銷及系統啟動和停機事件;

/var /log /btmp:記錄失敗的、錯誤的登錄嘗試及驗證事件;

內核及系統日誌由系統服務 rsyslog統一管理,rsyslog服務所使用的配置文件位於:/ etc / rsyslog.conf,在Linux內核中,根據日誌消息的重要程度不同,將其分為不同的優先級別:

①:EMERG(緊急):會導致主機系統不可用的情況;

②:ALERT (警告):必須馬上采取措施解決的問題;

③:CRIT (嚴重):比較嚴重的情況;

④:WARNNING(提醒):可能影響系統功能,需要提醒用戶的重要事件;

⑤:NOTICE(註意):不會影響正常功能,但是需要註意的時間;

⑥:INFO(信息) :一般信息;

⑦:DEBUG(調試):程序或系統調試信息等;

以上數字越小,表示優先級越高,消息越重要,一般會在日誌信息的每行中間部分顯示,一般顯示為如:[ INFO ]

對於rsrlog服務統一管理的日誌文件,使用的日誌記錄格式基本上相同,以/var/log/messages文件的記錄為例,每一行表示一條日誌消息,每條消息均包括以下四個字段:

時間標簽:消息發出的日期和時間;

主機名:生成消息的計算機的名稱;

子系統名稱:發出消息的應用程序的名稱;

消息:消息的具體內容;

二、用戶日誌

用戶日誌大多數是記錄用戶登錄的相關信息的,我們可以通過以下幾條命令來了解用戶的登錄信息:

users、who 、w 命令,其中命令 “w”輸出的信息最為詳細

“ last ” 命令用於查詢成功登錄到系統的用戶記錄,最近的登錄情況將顯示在最前面;

“ lastb ”命令用於查詢登錄失敗的用戶記錄;

三、程序日誌

在檢查這些日誌時,要註意是否有不合理的時間或操作記錄。例如,出現以下現象就應多加註意:

①:用戶在非常規的時間登錄,或者用戶登錄系統的IP與以往不一樣。

②:用戶登錄失敗的日誌記錄,尤其是那些一再連續嘗試進入失敗的日誌記錄。

③:非法使用或不正當使用超級用戶的權限。

④:無故或者非法重新啟動各項網絡服務的記錄。

⑤:不正常的日誌記錄,如日誌殘缺不全,或者是wtmp這樣的日誌文件無故少了中間的記錄文件。

Linux中常見日誌文件的介紹