Linux系統入門學習：Linux中常用的紀錄檔檔案

紀錄檔對於系統的安全來說非常重要，它記錄了系統每天發生的各種各樣的事情，使用者可以通過它來檢查錯誤發生的原因，或者尋找受攻擊時攻擊者留下的痕跡。紀錄檔的主要功能就是審計和檢測。它還可以實時地檢測系統的狀態、檢測和追蹤侵入者。

通常紀錄檔根據型別可以分為連線時間紀錄檔、進程統計紀錄檔和錯誤紀錄檔。連線時間紀錄檔由多個程式執行，它把記錄寫到/var/log/wtmp和/var/run/utmp當中，而login程式負責更新wtmp和utmp檔案，使得系統管理員能夠夠跟蹤誰在何時登入了系統。對於進程統計紀錄檔由核心執行，當一個進程終止時，每個進程都會向統計檔案pacct或者acct中寫入一個記錄。進程統計的目的是為了系統中的基本服務提供命令使用統計。對於錯誤紀錄檔，它由syslog來執行，各種系統守護行程、使用者程式和核心通過syslog向檔案/var/log/messages報告值得注意的時間。

其中/var/log/boot.log記錄了系統在引導的過程中發生的事件，就是Linux系統開機自檢過程顯示的資訊。

而/var/log/cron記錄了crontab守護行程crond所派生的子進程的動作，前面加上使用者、登入時間和pid，以及派生出來的進程的動作。

其中/var/log/maillog記錄了每一個傳送到系統或者從系統發出的電子郵件的活動，它可以用來檢視使用者使用哪個系統傳送工具或者把資料傳送到哪個系統。

其中/var/log/syslog預設是不生成的，我們可以設定/etc/syslog.conf中加上"*.warning  /var/log/syslog"那麼該紀錄檔是記錄當時使用者登入時login記錄下的錯誤口令、sendmail的問題、su執行失敗等資訊。

其中/var/log/wtmp是永久記錄登入每個使用者登入、登出以及系統的啟動、停機的事件。因此隨著系統正常執行時間的增加，該檔案也會越來越大，增加的速度取決於使用者登入的次數。該紀錄檔檔案可以用來檢視使用者的登入記錄、last命令就通過存取這個檔案來獲取這些資訊，並且用反序的方式從後向前顯示使用者的登入記錄，last也能夠夠根據使用者、終端tty或者時間顯示相應的記錄。

其中/var/run/utmp記錄有關當前登入的每個使用者的資訊，因此這個檔案隨著使用者登入和登出系統而不斷變化，它只保留當前聯機的使用者記錄，不會為使用者保留永久的記錄。系統中我們可以使用who、w、users、finger等存取這個檔案。該紀錄檔並不能包含所有精確的資訊，因為某些突發錯誤會終止使用者登入對談，而系統沒有及時更新utmp記錄，因此該紀錄檔的記錄不是百分百值得信賴的。

本文永久更新連結地址：http://www.linuxidc.com/Linux/2015-04/115845.htm