Linux日誌分析詳解
小編言:會看Linux日誌是非常重要的,不僅在日常操作中可以迅速排錯,也可以快速的定位***者。`
Liunx的配置檔案在/etc/rsyslog.d裡,可以看到如下資訊
這裡的意思是將不通的所有優先順序的資訊輸出到相應的日誌檔案中。
在linux系統當中,有三個主要的日誌子系統:
1、連線時間日誌:由多個程式執行,把記錄寫入到/var/log/wtmp和/var/run/utmp,
login等程式會更新wtmp和utmp檔案,使系統管理員能夠跟蹤誰在何時登入到系統。
2、程序統計:由系統核心執行,當一個程序終止時,為每個程序往程序統計檔案中寫一個記錄。程序統計的目的是為系統中的基本服務提供命令使用統計
3、錯誤日誌:由rsyslogd守護程式執行,各種系統守護程序、使用者程式和核心通過rsyslogd守護程式向檔案/var/log/messages報告值得注意的時間。另外有許多linux程式建立日誌,像HTTP和FTP這樣提供的伺服器也保持詳細的日誌。
4、其他日誌……
二:日誌儲存的位置
預設日誌位於
/var/log目錄下
可以看到在/var/log目錄下存在很多的日誌檔案,接下來就對裡面的一些常用日誌檔案進行分析
主要日誌檔案介紹:
核心及公共訊息日誌:/var/log/messages
計劃任務日誌:/var/log/cron
系統引導日誌:/var/log/dmesg
郵件系統日誌:/var/log/maillog
使用者登入日誌:/var/log/lastlog
/var/log/boot.log(記錄系統在引導過程中發生的時間)
/var/log/secure (使用者驗證相關的安全性事件)
/var/log/wtmp(當前登入使用者詳細資訊)
/var/log/btmp(記錄失敗的的記錄)
/var/run/utmp(使用者登入、登出及系統開、關等事件)
日誌檔案詳細介紹:
① /var/log/secure
Linux系統安全日誌,記錄使用者和工作組的情況、使用者登陸認證情況
例子:我建立了一個costin的使用者,然後改變了該使用者的密碼,於是該資訊就被記錄到該日誌下
該日誌就詳細的記錄了我操作的過程。
② /var/log/boot.log
該檔案記錄了系統在引導過程中發生的事件
③ /var/log/messages
核心及公共資訊日誌,是許多程序日誌檔案的彙總,從該檔案中可以看出任何***或成功的***
例子:我把”localhost”主機名改成“costin”
在該日誌檔案下也有記錄。
④ /var/log/dmesg
系統引導日誌
該日誌使用dmesg命令快速檢視最後一次系統引導的引導日誌
dmesg | more
⑤ /var/log/lastlog
最近的使用者登入事件,一般記錄最後一次的登入事件
該日誌不能用諸如cat、tail等檢視,因為該日誌裡面是二進位制檔案,可以用lastlog命令檢視,它根據UID排序顯示登入名、埠號(tty)和上次登入時間。如果一個使用者從未登入過,lastlog顯示 Never logged。
⑥ /var/log/wtmp
該日誌檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件。該日誌為二進位制檔案,不能用諸如tail/cat/等命令,使用last命令檢視。
⑦ /var/log/mailog
記錄郵件的收發
⑧ /var/log/btmp
此檔案是記錄錯誤登入的日誌,可以記錄有人使用暴力破解ssh服務的日誌。該檔案用lastb開啟
⑨ /var/log/utmp
該日誌記錄當前使用者登入的情況,不會永久儲存記錄。可以用who/w命令來檢視