您當前所在位置:
首頁 →
操作系統(tǒng) →
LINUX →
Linux 服務器系統(tǒng)常見的日志文件和常用命令
Linux 服務器系統(tǒng)常見的日志文件和常用命令
時間:2015-06-28 00:00:00
來源:IT貓撲網(wǎng)
作者:網(wǎng)管聯(lián)盟
我要評論(0)
??? 成功地管理任何系統(tǒng)的關鍵之一����,是要知道系統(tǒng)中正在發(fā)生什么事�。Linux 中提供了異常日志,并且日志的細節(jié)是可配置的���。Linux 日志都以明文形式存儲��,所以用戶不需要特殊的工具就可以搜索和閱讀它們���。還可以編寫腳本,來掃描這些日志����,并基于它們的內容去自動執(zhí)行某些功能。Linux 日志存儲在 /var/log 目錄中����。這里有幾個由系統(tǒng)維護的日志文件�,但其他服務和程序也可能會把它們的日志放在這里。大多數(shù)日志只有root賬戶才可以讀���,不過修改文件的訪問權限就可以讓其他人可讀��。
??? —————————————————————————————————————————
??? 成功地管理任何系統(tǒng)的關鍵之一�����,是要知道系統(tǒng)中正在發(fā)生什么事��。Linux 中提供了異常日志��,并且日志的細節(jié)是可配置的����。Linux 日志都以明文形式存儲��,所以用戶不需要特殊的工具就可以搜索和閱讀它們���。還可以編寫腳本,來掃描這些日志��,并基于它們的內容去自動執(zhí)行某些功能�����。Linux 日志存儲在 /var/log 目錄中�����。這里有幾個由系統(tǒng)維護的日志文件,但其他服務和程序也可能會把它們的日志放在這里����。大多數(shù)日志只有root賬戶才可以讀,不過修改文件的訪問權限就可以讓其他人可讀�����。
??? RedHat Linux常用的日志文件
??? RedHat Linux常見的日志文件詳述如下
??? /var/log/boot.log
??? 該文件記錄了系統(tǒng)在引導過程中發(fā)生的事件��,就是Linux系統(tǒng)開機自檢過程顯示的信息�����。
??? /var/log/cron
??? 該日志文件記錄crontab守護進程crond所派生的子進程的動作��,前面加上用戶�����、登錄時間和PID��,以及派生出的進程的動作�����。CMD的一個動作是cron派生出一個調度進程的常見情況�。REPLACE(替換)動作記錄用戶對它的cron文件的更新,該文件列出了要周期性執(zhí)行的任務調度�����。RELOAD動作在REPLACE動作后不久發(fā)生���,這意味著cron注意到一個用戶的cron文件被更新而cron需要把它重新裝入內存。該文件可能會查到一些反常的情況��。
??? /var/log/maillog
??? 該日志文件記錄了每一個發(fā)送到系統(tǒng)或從系統(tǒng)發(fā)出的電子郵件的活動��。它可以用來查看用戶使用哪個系統(tǒng)發(fā)送工具或把數(shù)據(jù)發(fā)送到哪個系統(tǒng)�。下面是該日志文件的片段:
??? Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,
??? class=0, nrcpts=1,
??? msgid=,
??? relay=root@localhost
??? Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: [email protected],
??? ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,
??? relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)
??? /var/log/messages
??? 該日志文件是許多進程日志文件的匯總���,從該文件可以看出任何入侵企圖或成功的入侵�。如以下幾行:
??? Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,
??? Authentication failure
??? Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM
??? fcceec.www.ec8.pfcc.com.cn
??? Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
??? 該文件的格式是每一行包含日期�、主機名、程序名���,后面是包含PID或內核標識的方括號��、一個冒號和一個空格����,最后是消息���。該文件有一個不足�,就是被記錄的入侵企圖和成功的入侵事件�����,被淹沒在大量的正常進程的記錄中��。但該文件可以由/etc/syslog文件進行定制�����。由/etc/syslog.conf配置文件決定系統(tǒng)如何寫入/var/messages�����。有關如何配置/etc/syslog.conf文件決定系統(tǒng)日志記錄的行為,將在后面詳細敘述�����。
??? /var/log/syslog
??? 默認RedHat Linux不生成該日志文件���,但可以配置/etc/syslog.conf讓系統(tǒng)生成該日志文件。它和/etc/log/messages日志文件不同���,它只記錄警告信息��,常常是系統(tǒng)出問題的信息,所以更應該關注該文件�。要讓系統(tǒng)生成該日志文件,在/etc/syslog.conf文件中加上:*.warning /var/log/syslog 該日志文件能記錄當用戶登錄時login記錄下的錯誤口令��、Sendmail的問題���、su命令執(zhí)行失敗等信息�。下面是一條記錄:
??? Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown
??? /var/log/secure
??? 該日志文件記錄與安全相關的信息��。該日志文件的部分內容如下:
??? Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1
??? Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root
??? Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)
??? Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1
??? Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root
??? Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)
??? Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2
??? /var/log/lastlog
??? 該日志文件記錄最近成功登錄的事件和最后一次不成功的登錄事件�����,由login生成�����。在每次用戶登錄時被查詢�����,該文件是二進制文件���,需要使用lastlog命令查看���,根據(jù)UID排序顯示登錄名、端口號和上次登錄時間���。如果某用戶從來沒有登錄過�����,就顯示為"**Never logged in**"。該命令只能以root權限執(zhí)行�。簡單地輸入lastlog命令后就會看到類似如下的信息:
??? Username Port From Latest
??? root tty2 Tue Sep 3 08:32:27 +0800 2002
??? bin **Never logged in**
??? daemon **Never logged in**
??? adm **Never logged in**
??? lp **Never logged in**
??? sync **Never logged in**
??? shutdown **Never logged in**
??? halt **Never logged in**
??? mail **Never logged in**
??? news **Never logged in**
??? uucp **Never logged in**
??? operator **Never logged in**
??? games **Never logged in**
??? gopher **Never logged in**
??? ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002
??? nobody **Never logged in**
??? nscd **Never logged in**
??? mailnull **Never logged in**
??? ident **Never logged in**
??? rpc **Never logged in**
??? rpcuser **Never logged in**
??? xfs **Never logged in**
??? gdm **Never logged in**
??? postgres **Never logged in**
??? apache **Never logged in**
??? lzy tty2 Mon Jul 15 08:50:37 +0800 2002
??? suying tty2 Tue Sep 3 08:31:17 +0800 2002
??? 系統(tǒng)賬戶諸如bin、daemon、adm���、uucp����、mail等決不應該登錄��,如果發(fā)現(xiàn)這些賬戶已經(jīng)登錄���,就說明系統(tǒng)可能已經(jīng)被入侵了�。若發(fā)現(xiàn)記錄的時間不是用戶上次登錄的時間����,則說明該用戶的賬戶已經(jīng)泄密了����。
??? /var/log/wtmp
??? 該日志文件永久記錄每個用戶登錄�、注銷及系統(tǒng)的啟動、停機的事件����。因此隨著系統(tǒng)正常運行時間的增加,該文件的大小也會越來越大,增加的速度取決于系統(tǒng)用戶登錄的次數(shù)�����。該日志文件可以用來查看用戶的登錄記錄���,last命令就通過訪問這個文件獲得這些信息��,并以反序從后向前顯示用戶的登錄記錄��,last也能根據(jù)用戶、終端 tty或時間顯示相應的記錄�����。
??? 命令last有兩個可選參數(shù):
??? last -u 用戶名 顯示用戶上次登錄的情況�����。
??? last -t 天數(shù) 顯示指定天數(shù)之前的用戶登錄情況����。
??? /var/run/utmp
??? 該日志文件記錄有關當前登錄的每個用戶的信息。因此這個文件會隨著用戶登錄和注銷系統(tǒng)而不斷變化�����,它只保留當時聯(lián)機的用戶記錄,不會為用戶保留永久的記錄�����。系統(tǒng)中需要查詢當前用戶狀態(tài)的程序�����,如 who�、w���、users�����、finger等就需要訪問這個文件�����。該日志
關鍵詞標簽:Linux,服務器,日志文件
相關閱讀
熱門文章
安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程
![Tomcat9.0如何安裝_Tomcat9.0環(huán)境變量配置方法]()
Tomcat9.0如何安裝_Tomcat9.0環(huán)境變量配置方法
![多種操作系統(tǒng)NTP客戶端配置]()
多種操作系統(tǒng)NTP客戶端配置
![Linux操作系統(tǒng)修改IP]()
Linux操作系統(tǒng)修改IP
人氣排行
Linux下獲取CPUID�����、硬盤序列號與MAC地址
dmidecode命令查看內存型號
linux tc實現(xiàn)ip流量限制
安裝紅帽子RedHat Linux9.0操作系統(tǒng)教程
linux下解壓rar文件
lcx.exe、nc.exe����、sc.exe入侵中的使用方法
Ubuntu linux 關機、重啟���、注銷 命令
查看linux服務器硬盤IO讀寫負載
