windows操作系統事件日志
C:\Windows\System32\winevt\Logs\ *( XP C:\Windows\System32)
- 應用程序日志 App Event.Evtx(Application.evtx)
- 安全日志 SecEvent.Evtx
- 系統日志 SysEvent.Evtx
USB設備第一次連接電腦:setupapi.log
Windows7/8:\Windows\inf\setupapi.dev.log \ Windows XP:\Windows\setupapi.log \
Microsoft- Windows- DriverFrameworks-UserMode/Operational Event Log
- 加載USB設備驅動時,日志ID號為1003.2003.2010.2004.2105等
- USB設備從系統移除,日志ID號為2100.2102.1006.2900等
ParentIDPrefix
Linux操作系統事件日志
由/etc/syslog.conf文件配置 格式:facility.loglevel logtarget
| facility(日志級別) | 描述 |
|---|---|
| auth | 安全性/驗證信息(負面) |
| authpriv | 安全性/驗證信息 |
| cron | 系統定時任務 |
| daemon | 其他系統守護進程 |
| kern | 內核信息 |
| lpr | 行打印字系統 |
| 郵件子系統 | |
| news | 新聞消息 |
| syslog | 內部syslog消息 |
| user | 一般用戶級消息 |
| uucp | UUCP子系統 |
| Local0-local7 | 自定義的級別 |
| loglevel(日志級別) | 描述 |
|---|---|
| emerg | 系統已不可用 |
| alert | 必須馬上采取行動 |
| crit | 危急 |
| err | 錯誤 |
| warning | 警告 |
| loglevel | 描述 |
| notice | 普通但重要的情形 |
| info | 通知信息 |
| debug | 調試信息 |
| logtarget(日志信息的存放位置) | 描述 |
|---|---|
| /path/filename | 將消息追加在指定文件的尾部 |
| @loghost | 將消息寫到loghost的日志服務器中 |
| /path/named_pipe | 將消息寫到指定的管道 |
| User1,User2 | 將消息寫到所列的用戶 |
| * | 將消息寫到所有的用戶 |
| /dev/console | 將消息寫到指定的終端 |
例:kern.notice/var/log/kern.log 表示將內核的優先級別為notice或者更高級別的日志信息紀錄到/var/log/kern.log文件中
常見的日志文件及其查看方法
| 日志文件 | 記錄信息 | 查看方法 |
|---|---|---|
| /var/log/secure | 記錄系統安全信息 | 直接查看 |
| /var/log/boot.log | 記錄系統引導過程中能夠發生的事件(Linux系統開機自檢過程顯示的信息) | 直接查看 |
| /var/log/message | 主要記錄系統所發生的錯誤信息 | 直接查看 |
| /var/log/mail | 記錄發送到系統或從系統發出的電子郵件的活動 | 直接查看 |
| /var/log/xferlog | 記錄FTP會話 | 直接查看 |
| /var/log/cron | 記錄例行性服務信息 | 直接查看 |
| User1,User2 | 記錄su命令信息 | 直接查看 |
| /var/adm/sulog | 記錄用戶最近成功登錄事件和最后一次不成功登錄事件 | lastlog命令 |
| /var/log/lastlog | 記錄每個用戶登錄、注銷及系統啟動、停機的事件 | last命令 |
| /var/log/wtmp | 記錄與當前登錄用戶相關的信息 | who或users命令 |
| /var/log/utmp | 記錄命令執行記錄 | 直接查看 |
| ~/ .bash_ history | 記錄例行性服務信息 | 直接查看 |
| web日志文件 | 記錄web訪問信息 | 直接查看 |
| 路由器日志文件 | 記錄路由器相關信息 | 直接查看 |