日志文件是重要的系統信息文件,其中記錄了許多重要的系統事件,包括用戶的登錄信息、系統的啟動信息、系統的安全信息、郵件相關信息、各種服務相關信息等。這些信息有些非常敏感,所以在
Linux 中這些日志文件只有 root 用戶可以讀取。
那么,系統日志文件保存在什么地方呢?還記得 /var/ 目錄嗎?它是用來保存系統動態數據的目錄,那么 /var/log/ 目錄就是系統日志文件的保存位置。我們通過表 1 來說明一下系統中的重要日志文件。
| 日志文件 | 說 明 |
| /var/log/cron | 記錄與系統定時任務相關的曰志 |
| /var/log/cups/ | 記錄打印信息的曰志 |
| /var/log/dmesg | 記錄了系統在開機時內核自檢的信總。也可以使用dmesg命令直接查看內核自檢信息 |
| /var/log/btmp | 記錄錯誤登陸的日志。這個文件是二進制文件,不能直接用Vi查看,而要使用lastb命令查看。命令如下: [root@localhost log]#lastb root tty1 Tue Jun 4 22:38 - 22:38 (00:00) #有人在6月4 日 22:38便用root用戶在本地終端 1 登陸錯誤 |
| /var/log/lasllog | 記錄系統中所有用戶最后一次的登錄時間的曰志。這個文件也是二進制文件.不能直接用Vi 查看。而要使用lastlog命令查看 |
| /var/Iog/mailog | 記錄郵件信息的曰志 |
| /var/log/message | 記錄系統里要佶息的日志.這個日志文件中會記錄Linux系統的絕大多數重要信息。如果系統出現問題,首先要檢查的應該就是這個日志文件 |
| /var/log/secure | 記錄驗證和授權方面的倍息,只要涉及賬戶和密碼的程序都會記錄,比如系統的登錄、ssh的登錄、su切換用戶,sudo授權,甚至添加用戶和修改用戶密碼都會記錄在這個日志文件中 |
| /var/log/wtmp | 永久記錄所有用戶的登陸、注銷信息,同時記錄系統的后動、重啟、關機事件。同樣,這個文件也是二進制文件.不能直接用Vi查看,而要使用last命令查看 |
| /var/tun/ulmp | 記錄當前已經登錄的用戶的信息。這個文件會隨着用戶的登錄和注銷而不斷變化,只記錄當前登錄用戶的信息。同樣,這個文件不能直接用Vi查看,而要使用w、who、users等命令查看 |
除系統默認的日志之外,采用 RPM 包方式安裝的系統服務也會默認把日志記錄在 /var/log/ 目錄中(源碼包安裝的服務日志存放在源碼包指定的目錄中)。不過這些日志不是由 rsyslogd 服務來記錄和管理的,而是各個服務使用自己的日志管理文檔來記錄自身的日志。以下介紹的日志目錄在你的 Linux 上不一定存在,只有安裝了相應的服務,日志才會出現。服務日志如表 2 所示。
| 日志文件 | 說明 |
|---|---|
| /var/log/httpd/ | RPM包安裝的apache取務的默認日志目錄 |
| /var/log/mail/ | RPM包安裝的郵件服務的額外日志因錄 |
| /var/log/samba/ | RPM色安裝的Samba服務的日志目錄 |
| /var/log/sssd/ | 守護進程安全服務目錄 |