Linux日誌分析詳解

小編言：會看Linux日誌是很是重要的，不只在平常操做中能夠迅速排錯，也能夠快速的定位***者。`

Liunx的配置文件在/etc/rsyslog.d裏，能夠看到以下信息

這裏的意思是將不通的全部優先級的信息輸出到相應的日誌文件中。

在linux系統當中，有三個主要的日誌子系統：
一、鏈接時間日誌：由多個程序執行，把記錄寫入到/var/log/wtmp和/var/run/utmp，
login等程序會更新wtmp和utmp文件，使系統管理員可以跟蹤誰在什麼時候登陸到系統。
二、進程統計：由系統內核執行，當一個進程終止時，爲每一個進程往進程統計文件中寫一個記錄。進程統計的目的是爲系統中的基本服務提供命令使用統計
三、錯誤日誌：由rsyslogd守護程序執行，各類系統守護進程、用戶程序和內核經過rsyslogd守護程序向文件/var/log/messages報告值得注意的時間。另外有許多linux程序建立日誌，像HTTP和FTP這樣提供的服務器也保持詳細的日誌。
四、其餘日誌……

二：日誌保存的位置
默認日誌位於
/var/log目錄下

能夠看到在/var/log目錄下存在不少的日誌文件，接下來就對裏面的一些經常使用日誌文件進行分析

主要日誌文件介紹：
內核及公共消息日誌:/var/log/messages
計劃任務日誌：/var/log/cron
系統引導日誌：/var/log/dmesg
郵件系統日誌:/var/log/maillog
用戶登陸日誌：/var/log/lastlog
/var/log/boot.log（記錄系統在引導過程當中發生的時間）
/var/log/secure (用戶驗證相關的安全性事件)
/var/log/wtmp(當前登陸用戶詳細信息)
/var/log/btmp（記錄失敗的的記錄）
/var/run/utmp（用戶登陸、註銷及系統開、關等事件）

日誌文件詳細介紹：
① /var/log/secure
Linux系統安全日誌，記錄用戶和工做組的狀況、用戶登錄認證狀況
例子：我建立了一個costin的用戶，而後改變了該用戶的密碼，因而該信息就被記錄到該日誌下

該日誌就詳細的記錄了我操做的過程。
② /var/log/boot.log
該文件記錄了系統在引導過程當中發生的事件

③ /var/log/messages
內核及公共信息日誌，是許多進程日誌文件的彙總，從該文件中能夠看出任何***或成功的***
例子：我把」localhost」主機名改爲「costin」

在該日誌文件下也有記錄。
④ /var/log/dmesg
系統引導日誌
該日誌使用dmesg命令快速查看最後一次系統引導的引導日誌
dmesg | more

⑤ /var/log/lastlog
最近的用戶登陸事件，通常記錄最後一次的登陸事件
該日誌不能用諸如cat、tail等查看，由於該日誌裏面是二進制文件，能夠用lastlog命令查看，它根據UID排序顯示登陸名、端口號（tty）和上次登陸時間。若是一個用戶從未登陸過，lastlog顯示 Never logged。

⑥ /var/log/wtmp
該日誌文件永久記錄每一個用戶登陸、註銷及系統的啓動、停機的事件。該日誌爲二進制文件，不能用諸如tail/cat/等命令，使用last命令查看。

⑦ /var/log/mailog
記錄郵件的收發

⑧ /var/log/btmp
此文件是記錄錯誤登陸的日誌，能夠記錄有人使用暴力破解ssh服務的日誌。該文件用lastb打開

⑨ /var/log/utmp
該日誌記錄當前用戶登陸的狀況，不會永久保存記錄。能夠用who/w命令來查看