36.日志系统-系统常用日志
基本介绍
- 日志文件是最重要的系统信息文件,其中记录了许多重要的系统事件,包括用户的登陆信息、系统启动信息、系统安全信息、邮件相关信息、各种服务相关信息等。
- 日志对于安全来说也很重要,它记录了系统每天发生的各种事情,通过日志来检查错误发生的原因,或者收到攻击时攻击者留下的痕迹。
系统常用日志
- 保存位置:/var/log/
- 常用日志:
| 日志文件 | 说明 |
|---|---|
| /var/log/boot.log | 系统启动日志 |
| /var/log/cron | 记录与系统定时任务相关的日志 |
| /var/log/cpus/ | 记录打印信息的日志 |
| /var/log/dmesg | 记录了系统在开机时内核自检的信息。也可以使用dmesg命令直接查看内核自检信息 |
| /var/log/btmp | 记录错误登陆的日志。这个文件是二进制文件,不能直接用vi查看,而要使用lastb命令查看。 |
| /var/log/lastlog | 记录系统中所有用户最后一次登陆的日志,这个文件也是二进制文件,要用lastlog命令查看 |
| /var/log/mailog | 记录邮件信息的日志 |
| /var/log/message | 记录系统重要消息的日志,这个日志文件中会记录Linux系统的绝大多数重要信息。如果系统出现问题,首先要检查的应该就是这个日志文件 |
| /var/log/secure | 记录验证和授权方面的信息,只要涉及账户和密码的程序都会记录,比如系统的登陆、ssh的登陆、su切换用户、sudo授权,甚至添加用户和修改用户密码都会记录在这个日志文件中 |
| /var/log/wtmp | 永久记录所有用户的登陆、注销信息,同时记录系统的启动、重启、关机事件。是二进制文件,要使用last命令查看 |
| /var/log/ulmp | 记录当前已经登陆的用户的信息。这个文件会随着用户的登陆和注销而不断变化,只记录当前登陆用户的信息。这个文件不能用vi查看,而要使用w、who、user等命令查看 |
- 案例:
使用root用户通过xshell6登陆,两次使用错误的密码,第三次使用正确的密码,查看在日志文件/var/log/secure里有没有记录相关信息
Feb 25 10:33:07 hjl unix_chkpwd[8692]: password check failed for user (root)
Feb 25 10:33:07 hjl sshd[8690]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=dell user=root
Feb 25 10:33:07 hjl sshd[8690]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 25 10:33:09 hjl sshd[8690]: Failed password for root from 192.168.200.1 port 8494 ssh2
Feb 25 10:33:12 hjl unix_chkpwd[8693]: password check failed for user (root)
Feb 25 10:33:12 hjl sshd[8690]: pam_succeed_if(sshd:auth): requirement "uid >= 1000" not met by user "root"
Feb 25 10:33:14 hjl sshd[8690]: Failed password for root from 192.168.200.1 port 8494 ssh2
Feb 25 10:33:16 hjl sshd[8690]: Accepted password for root from 192.168.200.1 port 8494 ssh2
Feb 25 10:33:17 hjl sshd[8690]: pam_unix(sshd:session): session opened for user root by (uid=0)
浙公网安备 33010602011771号