Linux系统通常运行将一些系统消息和错误消息写入相应的系统日志的程序,但出现问题时,用户通过查看日志可以迅速定位并及时解决故障,因此可以查看日志文件
1、Linux系统日志三种类型
1 .内核和系统日志
此日志数据由系统服务rsyslog集中管理,并根据其主配置文件/etc/rsyslog.conf中的设置确定在何处记录内核消息和各种系统程序消息。 这些程序使用的日志记录也具有类似的格式,因为系统中很大一部分程序都用rsyslog管理日志文件。
2 .用户日志
此日志数据用于记录Linux操作系统用户的登录和注销信息,包括用户名、已登录终端、登录时间、源主机和进程操作。
3 .程序日志
在某些APP情况下,您选择自行管理日志文件,以记录本程序运行期间的各种事件信息,而不是交给rsyslog服务。 由于这些程序只是管理自己的日志文件,因此不同程序使用的日志格式可能会有很大的不同。
2、Linux系统常见日志文件
路径1:/var/log/messages :记录Linux内核消息和各种APP应用的公共日志信息
路径2:/var/log/cron :记录crond计划任务生成的事件信息
路径3:/var/log/dmesg :记录正在运行的Linux操作系统的各种事件信息
路径4:/var/log/maillog :记录访问或发送到系统的电子邮件活动
路径5:/var/log/lastlog :记录每个用户最近的登录事件
路径6:/var/log/secure :记录与用户认证相关联的安全事件信息
路径7:/var/log/wtmp :记录每个用户的登录、注销以及系统启动和停止事件
路径8:/var/log/btmp :记录失败的非法登录尝试和验证事件
3、Linux系统日志优先级级别
数字级别越小,优先级越高,消息越重要。
4、Linux系统用户日志相关命令
1.users#
users命令只输出当前登录的用户名,显示的每个用户名对应一个登录会话。 如果一个用户有多个登录会话,则用户名将显示相同的次数。
2 .世卫组织#
who命令报告当前登录到系统的每个用户的信息。 此命令允许系统管理员检查当前系统中存在的未授权用户,并对其进行审计和处理。 世卫组织的默认输出包括用户名、终端类型、登录日期和远程主机。
3.w#
w命令用于显示当前系统中的每个用户及其运行的进程信息,输出内容比users和who命令丰富。
4.last#
last命令用于查询成功登录系统的用户记录,最近的登录情况显示在开头。 last命令可以及时了解Linux主机的登录情况。 如果发现非法用户登录,则当前主机可能已被入侵。
5.lastb#
lastb命令用于查询登录失败的用户的记录。 例如,系统会记录登录用户名错误、密码错误等情况。 如果登录失败,则为安全事件。 这意味着可能有人试图猜测密码。