Linux日志
Linux日志文件絕大多數存放在/var/log目錄,其中一些日志文件由應用程序創建,其他的則通過syslog來創建。
Linux系統日志文件通過syslog守護程序在syslog套接字/dev/log上監聽日志信息,然后將它們寫入適當的日志文件中。
一般情況下,只需要關注核心的系統和應用程序日志。
例如:
- 全局系統活動信息等
基於 Debian 的系統,如 Ubuntu 在/var/log/syslog中存儲。
基於 RedHat 的系統,如 RHEL 或 CentOS 在/var/log/messages中存儲。 - 驗證和授權信息等
Ubuntu 在/var/log/auth.log中存儲
RedHat 和 CentOS 在/var/log/secure中存儲。 - 進程統計監控日志
當服務器最近發現經常無故關機或者無故被人刪除文件等現象時,可以通過使用進程統計日志查看:
# accton /var/account/pacct //開啟進程統計日志監控
# lastcomm //查看進程統計日志情況
# accton //關閉進程統計日志監控
常見日志
/var/log/messages ---> 整體系統信息,其中也包含系統啟動期間的日志。
/var/log/dmesg ---> 內核緩沖信息(kernel ring buffer)。用dmesg查看系統啟動信息。
/var/log/auth.log ---> 系統授權信息,包括用戶登錄和使用的權限機制等。
/var/log/boot.log ---> 系統啟動時的日志。
/var/log/daemon.log ---> 系統后台守護進程日志信息。
/var/log/dpkg.log ---> 安裝或dpkg命令清除軟件包的日志。
/var/log/kern.log ---> 內核產生的日志。
/var/log/lastlog ---> 記錄所有用戶的最近信息。用lastlog命令查看內容。
/var/log/maillog 或 /var/log/mail.log ---> 電子郵件服務器的日志信息。
/var/log/user.log ---> 記錄所有等級用戶信息的日志。
/var/log/alternatives.log ---> 更新替代信息都記錄在這個文件中。
/var/log/btmp ---> 記錄所有失敗登錄信息(用戶、時間以及遠程IP地址)。使用last命令查看,例如:last -f /var/log/btmp | more。
/var/log/cups ---> 涉及所有打印信息的日志。
/var/log/anaconda.log ---> Linux系統安裝信息。
/var/log/yum.log ---> 使用yum安裝的軟件包信息。
/var/log/cron ---> crond計划任務服務執行情況。
/var/log/secure ---> 系統安全日志、驗證和授權信息。
/var/log/wtmp或/var/log/utmp ---> 登錄信息。使用 w/who/finger/id/last/lastlog/ac 進行查看。
/var/log/faillog ---> 用戶登錄失敗信息。
日志工具
logger ---> a shell command interface to the syslog(3) system log module
logrotate ---> 日志管理
logwatch ---> 日志分析監控