站長資訊網(wǎng)
linux日志文件有三種類型:1、內(nèi)核及系統(tǒng)日志,該種日志數(shù)據(jù)由系統(tǒng)服務(wù)rsyslog統(tǒng)一管理,根據(jù)其主配置文件中的設(shè)置決定將內(nèi)核消息及各種系統(tǒng)程序消息記錄到什么位置。2、用戶日志,該種日志數(shù)據(jù)用于記錄Linux操作系統(tǒng)用戶登錄及退出系統(tǒng)的相關(guān)信息,包括用戶名、登錄的終端、登錄時間等。3、程序日志,指定程序的獨立日志文件,用于記錄本程序運行過程中的各種事件信息。
本教程操作環(huán)境:linux7.3系統(tǒng)、Dell G3電腦。
在Linux系統(tǒng)中,擁有非常靈活和強大的日志功能,它幾乎可以保存所有的操作記錄,還可以檢索出我們需要的信息。不僅如此,Linux系統(tǒng)日志還可以幫助我們解決各種各樣的問題。
Linux系統(tǒng)日志分為哪幾種類型?
Linux 系統(tǒng)日志主要有三種類型:分別是 內(nèi)核及系統(tǒng)日志、用戶日志、程序日志。
1、內(nèi)核及系統(tǒng)日志:
這種日志數(shù)據(jù)由系統(tǒng)服務(wù) rsyslog 統(tǒng)一管理,根據(jù)其主配置文件 /etc/rsyslog.conf 中的設(shè)置決定將內(nèi)核消息及各種系統(tǒng)程序消息記錄到什么位置。系統(tǒng)中有相當一部分程序會把日志文件交由 rsyslog 管理,因而這些程序使用的日志記錄也具有相似的格式。
2、用戶日志:
這種日志數(shù)據(jù)用于記錄 Linux 操作系統(tǒng)用戶登錄及退出系統(tǒng)的相關(guān)信息,包括用戶名、登錄的終端、登錄時間、來源主機、正在使用的進程操作等。
3、程序日志:
有些應(yīng)用程序會選擇由自己獨立管理一份日志文件,用于記錄本程序運行過程中的各種事件信息,而不是交給 rsyslog 服務(wù)管理。由于這些程序只負責管理自己的日志文件,因此不同程序所使用的日志記錄格式可能會存在較大的差異。
Linux常見日志文件及其功能
日志文件是重要的系統(tǒng)信息文件,其中記錄了許多重要的系統(tǒng)事件,包括用戶的登錄信息、系統(tǒng)的啟動信息、系統(tǒng)的安全信息、郵件相關(guān)信息、各種服務(wù)相關(guān)信息等。這些信息有些非常敏感,所以在 Linux 中這些日志文件只有 root 用戶可以讀取。
那么,系統(tǒng)日志文件保存在什么地方呢?還記得 /var/ 目錄嗎?它是用來保存系統(tǒng)動態(tài)數(shù)據(jù)的目錄,那么 /var/log/ 目錄就是系統(tǒng)日志文件的保存位置。我們通過表 1 來說明一下系統(tǒng)中的重要日志文件。
| 日志文件 | 說 明 |
| /var/log/cron | 記錄與系統(tǒng)定時任務(wù)相關(guān)的曰志 |
| /var/log/cups/ | 記錄打印信息的曰志 |
| /var/log/dmesg | 記錄了系統(tǒng)在開機時內(nèi)核自檢的信總。也可以使用dmesg命令直接查看內(nèi)核自檢信息 |
| /var/log/btmp | 記錄錯誤登陸的日志。這個文件是二進制文件,不能直接用Vi查看,而要使用lastb命令查看。命令如下: [root@localhost log]#lastb root tty1 Tue Jun 4 22:38 – 22:38 (00:00) #有人在6月4 日 22:38便用root用戶在本地終端 1 登陸錯誤 |
| /var/log/lasllog | 記錄系統(tǒng)中所有用戶最后一次的登錄時間的曰志。這個文件也是二進制文件.不能直接用Vi 查看。而要使用lastlog命令查看 |
| /var/Iog/mailog | 記錄郵件信息的曰志 |
| /var/log/messages | 它是核心系統(tǒng)日志文件,其中包含了系統(tǒng)啟動時的引導信息,以及系統(tǒng)運行時的其他狀態(tài)消息。I/O 錯誤、網(wǎng)絡(luò)錯誤和其他系統(tǒng)錯誤都會記錄到此文件中。其他信息,比如某個人的身份切換為 root,已經(jīng)用戶自定義安裝軟件的日志,也會在這里列出。 |
| /var/log/secure | 記錄驗證和授權(quán)方面的倍息,只要涉及賬戶和密碼的程序都會記錄,比如系統(tǒng)的登錄、ssh的登錄、su切換用戶,sudo授權(quán),甚至添加用戶和修改用戶密碼都會記錄在這個日志文件中 |
| /var/log/wtmp | 永久記錄所有用戶的登陸、注銷信息,同時記錄系統(tǒng)的后動、重啟、關(guān)機事件。同樣,這個文件也是二進制文件.不能直接用Vi查看,而要使用last命令查看 |
| /var/tun/ulmp | 記錄當前已經(jīng)登錄的用戶的信息。這個文件會隨著用戶的登錄和注銷而不斷變化,只記錄當前登錄用戶的信息。同樣,這個文件不能直接用Vi查看,而要使用w、who、users等命令查看 |
除系統(tǒng)默認的日志之外,采用 RPM 包方式安裝的系統(tǒng)服務(wù)也會默認把日志記錄在 /var/log/ 目錄中(源碼包安裝的服務(wù)日志存放在源碼包指定的目錄中)。不過這些日志不是由 rsyslogd 服務(wù)來記錄和管理的,而是各個服務(wù)使用自己的日志管理文檔來記錄自身的日志。以下介紹的日志目錄在你的 Linux 上不一定存在,只有安裝了相應(yīng)的服務(wù),日志才會出現(xiàn)。服務(wù)日志如表 2 所示。
| 日志文件 | 說明 |
|---|---|
| /var/log/httpd/ | RPM包安裝的apache取務(wù)的默認日志目錄 |
| /var/log/mail/ | RPM包安裝的郵件服務(wù)的額外日志因錄 |
| /var/log/samba/ | RPM色安裝的Samba服務(wù)的日志目錄 |
| /var/log/sssd/ | 守護進程安全服務(wù)目錄 |
怎么查看系統(tǒng)日志狀態(tài)
我們使用 ps 命令,查看日志服務(wù) rsyslog 的狀態(tài)。系統(tǒng)中的絕大多數(shù)日志文件是由 rsyslogd 服務(wù)來統(tǒng)一管理的,只要各個進程將信息給予這個服務(wù),它就會自動地把日志按照特定的格式記錄到不同的日志文件中。也就是說,采用 rsyslogd 服務(wù)管理的日志文件,它們的格式應(yīng)該是統(tǒng)一的。
語法
ps aux | grep "rsyslog" | grep -v "grep"
在 Linux 系統(tǒng)中有一部分日志不是由 rsyslogd 服務(wù)來管理的,比如 apache 服務(wù),它的日志是由 Apache 軟件自己產(chǎn)生并記錄的,并沒有調(diào)用 rsyslogd 服務(wù)。但是為了便于讀取,apache 日志文件的格式和系統(tǒng)默認日志的格式是一致的。
案例
我們使用 ps 命令,查看系統(tǒng)日志服務(wù)狀態(tài),具體命令如下:
我們看到,我們使用了 ps 命令查看了系統(tǒng)日志 rsyslog 的服務(wù)狀態(tài)。
