Linux日志
Linux日志文件绝大多数存放在/var/log
目录,其中一些日志文件由应用程序创建,其他的则通过syslog来创建。
Linux系统日志文件通过syslog守护程序在syslog套接字/dev/log
上监听日志信息,然后将它们写入适当的日志文件中。
一般情况下,只需要关注核心的系统和应用程序日志。
例如:
- 全局系统活动信息等
基于 Debian 的系统,如 Ubuntu 在/var/log/syslog
中存储。
基于 RedHat 的系统,如 RHEL 或 CentOS 在/var/log/messages
中存储。 - 验证和授权信息等
Ubuntu 在/var/log/auth.log
中存储
RedHat 和 CentOS 在/var/log/secure
中存储。 - 进程统计监控日志
当服务器最近发现经常无故关机或者无故被人删除文件等现象时,可以通过使用进程统计日志查看:
# accton /var/account/pacct //开启进程统计日志监控
# lastcomm //查看进程统计日志情况
# accton //关闭进程统计日志监控
常见日志
/var/log/messages ---> 整体系统信息,其中也包含系统启动期间的日志。
/var/log/dmesg ---> 内核缓冲信息(kernel ring buffer)。用dmesg查看系统启动信息。
/var/log/auth.log ---> 系统授权信息,包括用户登录和使用的权限机制等。
/var/log/boot.log ---> 系统启动时的日志。
/var/log/daemon.log ---> 系统后台守护进程日志信息。
/var/log/dpkg.log ---> 安装或dpkg命令清除软件包的日志。
/var/log/kern.log ---> 内核产生的日志。
/var/log/lastlog ---> 记录所有用户的最近信息。用lastlog命令查看内容。
/var/log/maillog 或 /var/log/mail.log ---> 电子邮件服务器的日志信息。
/var/log/user.log ---> 记录所有等级用户信息的日志。
/var/log/alternatives.log ---> 更新替代信息都记录在这个文件中。
/var/log/btmp ---> 记录所有失败登录信息(用户、时间以及远程IP地址)。使用last命令查看,例如:last -f /var/log/btmp | more
。
/var/log/cups ---> 涉及所有打印信息的日志。
/var/log/anaconda.log ---> Linux系统安装信息。
/var/log/yum.log ---> 使用yum安装的软件包信息。
/var/log/cron ---> crond计划任务服务执行情况。
/var/log/secure ---> 系统安全日志、验证和授权信息。
/var/log/wtmp或/var/log/utmp ---> 登录信息。使用 w/who/finger/id/last/lastlog/ac 进行查看。
/var/log/faillog ---> 用户登录失败信息。
日志工具
logger ---> a shell command interface to the syslog(3) system log module
logrotate ---> 日志管理
logwatch ---> 日志分析监控