Linux系統(tǒng)中日志詳細介紹

更新時間：2021年12月23日 14:31:29 作者：繁華似錦Fighting

大家好，本篇文章主要講的是Linux系統(tǒng)中日志詳細介紹，感興趣的同學(xué)趕快來看一看吧，對你有幫助的話記得收藏一下，方便下次瀏覽

1、日志相關(guān)服務(wù)

在CentOS 6.x中日志服務(wù)已經(jīng)由rsyslogd取代了原先的syslogd服務(wù)。RedHat認為syslogd已經(jīng)不能滿足在工作中的需求，rsyslogd服務(wù)支持的功能更加豐富。

rsyslogd服務(wù)相比syslogd服務(wù)具有一些新的特點：

基于TCP網(wǎng)絡(luò)協(xié)議傳輸日志信息。

更安全的網(wǎng)絡(luò)傳輸方式。

有日志消息的及時分析框架。

后臺數(shù)據(jù)庫。配置文件中可以寫簡單的邏輯判斷。

與syslog配置文件相兼容。

2、系統(tǒng)中常見的日志文件

在Linux系統(tǒng)中，系統(tǒng)日志一般都保存在/var/log/目錄下。

如下所示：

[root@localhost ~]# ls /var/log/
anaconda.ifcfg.log    btmp           maillog            secure
anaconda.log          ConsoleKit     maillog-20200705   secure-20200705
anaconda.program.log  cron           mcelog             spooler
anaconda.storage.log  cron-20200705  messages           spooler-20200705
anaconda.syslog       cups           messages-20200705  sssd
anaconda.xlog         dmesg          ntpstats           tallylog
anaconda.yum.log      dmesg.old      prelink            wtmp
audit                 dracut.log     sa                 yum.log
boot.log              lastlog        samba

具體介紹一下這上面的主要日志文件：

日志文件	說明
`/var/log/cron`	記錄了系統(tǒng)定時任務(wù)相關(guān)的日志。
`/var/log/cups/`	記錄打印信息的日志。（前提你要有打印機或者打印服務(wù)器，一般不用）
`/var/log/dmesg`	記錄了系統(tǒng)在開機時內(nèi)核自檢的信息。也可以使用`dmesg`命令直接查看內(nèi)核自檢信息。
`/var/log/btmp`	記錄錯誤登錄的日志。這個文件是二進制文件，不能直接`vim`查看，而要使用`lastb`命令查看。
`/var/log/lastlog`	記錄系統(tǒng)中所有用戶最后一次的登錄時間的日志。這個文件也是二進制文件，不能直接`vim`，而要使用`lastlog`命令查看。
`/var/log/mailog`	記錄郵件信息。
`/var/log/message`	記錄系統(tǒng)重要信息的日志。這個日志文件中會記錄Linux系統(tǒng)的絕大多數(shù)重要信息，如果系統(tǒng)出現(xiàn)問題時，首先要檢查的就應(yīng)該是這個日志文件。
`/var/log/secure`	記錄驗證和授權(quán)方面的信息，只要涉及賬戶和密碼的程序都會記錄。比如說系統(tǒng)的登錄，`ssh`的登錄，`su`切換用戶，`sudo`授權(quán)，甚至添加用戶和修改用戶密碼都會記錄在這個日志文件中。
`/var/log/wtmp`	永久記錄所有用戶的登錄、注銷信息，同時記錄系統(tǒng)的啟動、重啟、關(guān)機事件。同樣這個文件也是一個二進制文件，不能直接`vim`，而需要使用`last`命令來查看。
`/var/run/utmp`	記錄當前已經(jīng)登錄的用戶的信息。這個文件會隨著用戶的登錄和注銷而不斷變化，只記錄當前登錄用戶的信息。同樣這個文件不能直接`vim`，而要使用`w`，`who`，`users`等命令來查詢。

說明：不能用vim編輯器查看的日志文件示例。

# 有人在6月4日22：38使用root用戶，在本地終端1登錄錯誤
[root@localhost log]# lastb
root  tty1        Tue Jun 4 22:38 - 22:38 (00:00)

為什么有些日志文件不能使用vim編輯器查看？

是因為這些日志文件中的內(nèi)容，記錄的是重要系統(tǒng)資源的日志，與系統(tǒng)安全有關(guān)，不能讓你修改，要確保數(shù)據(jù)的準確性，只能通關(guān)相關(guān)命令來查看。

除了系統(tǒng)默認的日志之外，采用RPM方式安裝的系統(tǒng)服務(wù)也會默認把日志記錄在/var/log/目錄中。

例如：

日志文件	說明
`/var/log/httpd/`	RPM包安裝的`apache`服務(wù)的默認日志目錄。
`/var/log/mail/`	RPM包安裝的郵件服務(wù)的額外日志目錄。
`/var/log/samba/`	RPM包安裝的`samba`服務(wù)的日志目錄。
`/var/log/sssd/`	守護進程安全服務(wù)目錄。