Linux系统日志分析
Linux系统的日志是由一个叫做rsyslog的服务进行管理,系统日志默认的守护进程为rsyslog,rsyslog是syslog的一个升级版本。
主要配置文件:/etc/rsyslog.conf
Linux系统内核的许多程序服务会产生各种错误信息、告警信息,这些信息都记录到日志文件中,完成这个过程的程序就是rsyslog,rsyslog可以根据日志的类别和优先级将日志保存到不同的文件中。
日志类型:
日志优先级:
常见日志文件:系统日志一般存储于 /var/log 目录下
- /var/log/messages:系统日志,主要记录内核和公共消息。
messages 信息项包括:事件发生的日期和时间、主机,终端名、进程 和 事件日志。 - /var/log/cron:计划执行任务日志。
cron 信息项包括:事件发生的日期和时间、主机,终端名、进程 和 事件日志。 - /var/log/dmesg:系统引导日志,显示硬件相关的信息。
- /var/log/maillog:邮件日志。
- /var/log/lastlog:记录所有用户登录最后一次登录本系统的时间信息。用 lastlog 读取信息。lastlog 的几列内容:Username(用户名)、Port(端口)、From(登录IP)、Latest(最后登录时间)。
系统用户是调用系统当中一些特殊服务的用户,不能登录系统(所以它们的登录状态都是显示“Never logged in”从来没有登录)。能够登录系统的只有 root 和 新建的普通用户。 - /var/log/boot.log:系统启动日志。
- /var/log/secure:安全和身份验证日志 。
通过 secure 的信息可以发现记录的是安全相关的信息,记录最多的是哪些用户登录服务器的相关日志。 - /var/log/wtmp:记录所有用户登录的详细信息。一个二进制文件,不能用cat、vi、tail、more这些命令打开查看。用 last 命令查看。last 作用是显示近期用户或终端登录的情况(包括:登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大)
- /var/log/btmp:记录失败的登录记录,主要查看错误的登录信息。一个二进制文件,不能用cat、vi、tail、more这些命令打开查看。用 lastb 命令查看。
- /var/run/utmp:用户登录、注销及系统开、关等事件。一个二进制文件,不能用cat、vi、tail、more这些命令打开查看。用 w / who 命令查看。
w 命令:查看登录者的信息及行为。
who 命令:显示关于当前在本地系统上的所有用户信息。who 和 w 差不多,who 显示的内容更为简洁。who 命令显示以下内容:登录名、tty、登录日期 和 时间。如果用户是从远程终端登录的,那么该终端的 IP 也会显示出来。
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
