Linux系统日志
日志分类:
一、/var目录
一些数据库如MySQL则在/var/lib下,用户未读的邮件的默认存放地点为/var/spool/mail
二、:/var/log/
系统的引导日志:/var/log/boot.log,例如:
1 Feb 26 10:40:48 sendmial : sendmail startup succeeded #邮件服务启动成功!
系统日志一般都存在/var/log下,常用的系统日志如下:
1 /var/log/dmesg #核心启动日志:
2 /var/log/messages #系统报错日志,系统启动时的状态信息,运行时的状态信息。比如某个人的身份切换为 root等。如果服务正在运行,比如 DHCP 服务器,您可以在 messages 文件中观察它的活动。
1 /var/log/maillog #邮件系统日志:
2 /var/log/xferlog #FTP系统日志:
3 /var/log/secure #安全信息和系统登录与网络连接的信息:
4 /var/log/wtmp #记录所有的登录和退出登录,二进制文件,须用last来读取内容
5 # who -u /var/log/wtmp 查看信息
6 /var/log/spooler #News日志
7 /var/log/rpmpkgs #RPM软件包
8 /var/log/XFree86.0.log #记录 Xfree86 Xwindows 服务器最后一次执行的结果。如果进系统图形界面失败就找他。
1 /var/log/boot.log #引导日志 记录开机启动讯息,dmesg | more
2 /var/log/cron #cron(定制任务日志)日志:
文件 /var/run/utmp 记录着现在登录的用户。
文件 /var/log/lastlog 记录每个用户最后的登录信息。
文件 /var/log/btmp 记录错误的登录尝试。
less /var/log/auth.log 需要身份确认的操作
lastlog查询最后登录
系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录,如果发现这些账户已经登录,就说明系统可能已经被入侵了。若发现记录的时间不是用户上次登录的时间,则说明该用户的账户已经泄密了。
命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录
who /var/log/wtmp