一、查看日志服务
大部分Linux发行版默认的日志守护进程为 syslog,位于 /etc/syslog 或 /etc/syslogd 或/etc/rsyslog.d,默认配置文件为 /etc/syslog.conf 或 rsyslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息。
查看日志守护进程
命令: ps aux | grep syslog
root 921 0.0 0.1 35976 928 ? Sl Jan22 0:00 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5
• 注:系统centos6,rsyslogd r带有网络的性质。
• 注:centos5服务名为syslogd。本地的性质。
• 注:日志会根据大小或者日期 切换到另外一个文件,新日志还叫原名
二、日志类型
三、日志优先级
四、简要说明
1、常用日志
/var/log/messages # 记录Linux操作系统常见的系统和服务错误信息
/var/log/secure # Linux系统安全日志,记录用户和工作组变坏情况、用户登陆认证情况
/var/log/maillog # 邮件相关的日志
/var/log/dmesg # 系统启动时显示的硬件内核信息
/var/log/boot.log # 记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息
2、二进制日志
/var/log/wtmp # 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看。
/var/log/btmp # 记录Linux登陆失败的用户、时间以及远程IP地址,lastb命令查看。
/var/log/lastlog # 记录最后一次用户成功登陆的时间、登陆IP等信息使用lastlog查看。。
/var/run/utmp # 该日志文件记录有关当前登录的每个用户的信息。
3、日志配置文件
/etc/rsyslog.conf # 系统日志配置文件
/etc/logrotate.conf # 定义日志切割归档
/etc/logrotate.d/syslog # 定义日志格式文件
/etc/logrotate.d/* # 是一些日志自定义的服务
/etc/rsyslog.d/*.conf # 自定义日志添加路径,记录日志格式
4、日志访问命令
命令:dmesg # 查看硬件相关的日志
命令:last # 查看用户登陆信息
命令:lastlog # 查看系统所有用户最近登陆情况
命令:lastb # 查看无效登陆的历史
四、详细说明
/var/log/messages
日志说明
messages 日志是核心系统日志文件。
包含了系统启动时的引导消息,以及系统运行时的其他状态消息。
IO 错误、网络错误和其他系统错误都会记录到这个文件中。
其他信息,比如某个人的身份切换为 root,也在这里列出。
如果服务正在运行,比如 DHCP 服务器,您可以在 messages 文件中观察它的活动。
通常/var/log/messages 是您在做故障诊断时首先要查看的文件。
日志测试
Jan 23 03:03:04 localhost dhclient[30603]: DHCPOFFER from 192.168.1.1
Jan 23 03:03:04 localhost dhclient[30603]: DHCPREQUEST on eth0 to 255.255.255.255 port 67 (xid=0x2c3377ff)
Jan 23 03:03:05 localhost dhclient[30603]: DHCPACK from 192.168.1.1 (xid=0x2c3377ff)
Jan 23 03:03:07 localhost NET[30879]: /sbin/dhclient-script : updated /etc/resolv.conf
Jan 23 03:03:07 localhost dhclient[30603]: bound to 192.168.1.107 -- renewal in 3569 seconds.
Jan 23 03:26:40 localhost kernel: e1000: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
Jan 23 03:26:40 localhost kernel: ADDRCONF(NETDEV_UP): eth0: link is not ready
Jan 23 03:26:40 localhost kernel: ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready
/var/log/btmp
root ssh:notty 192.168.1.106 Tue Jan 23 04:56 - 04:56 (00:00)
root ssh:notty 192.168.1.106 Tue Jan 23 04:56 - 04:56 (00:00)
*[A*[B** ssh:notty 192.168.1.154 Mon Jan 22 14:21 - 14:21 (00:00)
btmp begins Mon Jan 22 14:21:36 2018
/var/log/wtmp
root pts/0 192.168.1.106 Tue Jan 23 04:44 still logged in
root pts/4 192.168.1.150 Tue Jan 23 03:14 still logged in
root pts/3 192.168.1.150 Tue Jan 23 03:02 still logged in
root pts/2 192.168.1.107 Tue Jan 23 02:01 still logged in
root pts/0 192.168.1.150 Tue Jan 23 01:34 - 04:08 (02:34)
root pts/1 192.168.1.150 Tue Jan 23 00:26 - 03:34 (03:08)
root pts/0 192.168.1.150 Mon Jan 22 21:59 - 00:26 (02:27)
root pts/1 192.168.1.150 Mon Jan 22 19:47 - 23:03 (03:16)
root pts/0 192.168.1.150 Mon Jan 22 18:58 - 21:51 (02:53)
root pts/3 192.168.1.150 Mon Jan 22 14:22 - 20:58 (06:36)
root pts/2 192.168.1.154 Mon Jan 22 14:21 - 14:24 (00:02)
root pts/1 192.168.1.150 Mon Jan 22 14:20 - 15:22 (01:01)
root tty1 Mon Jan 22 13:56 still logged in
root pts/1 192.168.1.150 Mon Jan 22 11:26 - 13:54 (02:28)
root pts/1 192.168.1.150 Mon Jan 22 11:24 - 11:26 (00:01)
root pts/0 192.168.1.150 Mon Jan 22 11:22 - 16:08 (04:45)
reboot system boot 2.6.32-431.el6.i Mon Jan 22 11:09 - 04:50 (17:41)
root tty1 Mon Jan 22 10:55 - down (00:13)
root pts/1 192.168.1.150 Mon Jan 22 10:47 - 10:47 (00:00)
root pts/0 192.168.1.150 Mon Jan 22 10:19 - down (00:49)
reboot system boot 2.6.32-431.el6.i Mon Jan 22 10:17 - 11:09 (00:51)
root pts/0 192.168.1.103 Tue Dec 26 10:15 - crash (27+00:02)
root pts/1 192.168.1.151 Sun Dec 24 00:33 - down (08:31)
root pts/0 192.168.1.151 Sun Dec 24 00:07 - 00:42 (00:34)
root tty1 Sat Dec 23 23:36 - down (09:28)
root pts/0 192.168.1.151 Sat Dec 23 23:31 - 00:06 (00:35)
reboot system boot 2.6.32-431.el6.i Sat Dec 23 23:29 - 09:05 (09:35)
root pts/0 192.168.1.151 Sat Dec 23 20:46 - crash (02:43)
root tty1 Sat Dec 23 20:45 - crash (02:44)
reboot system boot 2.6.32-431.el6.i Sat Dec 23 20:44 - 09:05 (12:20)
wtmp begins Sat Dec 23 20:44:29 2017
/var/log/dmesg
/var/log/maillog
/var/log/secure
/var/log/lastlog
/var/log/wtmp
/var/run/utmp
/etc/rsyslog.conf
• # 不打印 带#行 与空行。
• 命令:grep -v '^$' /etc/rsyslog.conf | grep -v '^#'
/etc/logrotate.conf
/etc/logrotate.d/syslog