Linux紀錄檔分析詳解

小編言：會看Linux紀錄檔是非常重要的，不僅在日常操作中可以迅速排錯，也可以快速的定位。`

Liunx的組態檔在/etc/rsyslog.d裡，可以看到如下資訊

這裡的意思是將不通的所有優先順序的資訊輸出到相應的紀錄檔檔案中。

在linux系統當中，有三個主要的紀錄檔子系統：
1、連線時間紀錄檔：由多個程式執行，把記錄寫入到/var/log/wtmp和/var/run/utmp，
login等程式會更新wtmp和utmp檔案，使系統管理員能夠跟蹤誰在何時登入到系統。
2、進程統計：由系統核心執行，當一個進程終止時，為每個進程往進程統計檔案中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計
3、錯誤紀錄檔：由rsyslogd守護程式執行，各種系統守護行程、使用者程式和核心通過rsyslogd守護程式向檔案/var/log/messages報告值得注意的時間。另外有許多linux程式建立紀錄檔，像HTTP和FTP這樣提供的伺服器也保持詳細的紀錄檔。
4、其他紀錄檔……

二：紀錄檔儲存的位置
預設紀錄檔位於
/var/log目錄下

可以看到在/var/log目錄下存在很多的紀錄檔檔案，接下來就對裡面的一些常用紀錄檔檔案進行分析

主要紀錄檔檔案介紹：
核心及公共訊息紀錄檔:/var/log/messages
計劃任務紀錄檔：/var/log/cron
系統引導紀錄檔：/var/log/dmesg
郵件系統紀錄檔:/var/log/maillog
使用者登入紀錄檔：/var/log/lastlog
/var/log/boot.log（記錄系統在引導過程中發生的時間）
/var/log/secure (使用者驗證相關的安全性事件)
/var/log/wtmp(當前登入使用者詳細資訊)
/var/log/btmp（記錄失敗的的記錄）
/var/run/utmp（使用者登入、登出及系統開、關等事件）

紀錄檔檔案詳細介紹：
① /var/log/secure
Linux系統安全紀錄檔，記錄使用者和工作組的情況、使用者登陸認證情況
例子：我建立了一個costin的使用者，然後改變了該使用者的密碼，於是該資訊就被記錄到該紀錄檔下

該紀錄檔就詳細的記錄了我操作的過程。
② /var/log/boot.log
該檔案記錄了系統在引導過程中發生的事件

③ /var/log/messages
核心及公共資訊紀錄檔，是許多進程紀錄檔檔案的彙總，從該檔案中可以看出任何***或成功的***
例子：我把”localhost”主機名改成“costin”

在該紀錄檔檔案下也有記錄。
④ /var/log/dmesg
系統引導紀錄檔
該紀錄檔使用dmesg命令快速檢視最後一次系統引導的引導紀錄檔
dmesg | more

⑤ /var/log/lastlog
最近的使用者登入事件，一般記錄最後一次的登入事件
該紀錄檔不能用諸如cat、tail等檢視，因為該紀錄檔裡面是二進位制檔案，可以用lastlog命令檢視，它根據UID排序顯示登入名、埠號（tty）和上次登入時間。如果一個使用者從未登入過，lastlog顯示 Never logged。

⑥ /var/log/wtmp
該紀錄檔檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件。該紀錄檔為二進位制檔案，不能用諸如tail/cat/等命令，使用last命令檢視。

⑦ /var/log/mailog
記錄郵件的收發

⑧ /var/log/btmp
此檔案是記錄錯誤登入的紀錄檔，可以記錄有人使用暴力破解ssh服務的紀錄檔。該檔案用lastb開啟

⑨ /var/log/utmp
該紀錄檔記錄當前使用者登入的情況，不會永久儲存記錄。可以用who/w命令來檢視