首页 > 系统相关 >Linux 日志 | 常用系统日志

Linux 日志 | 常用系统日志

时间:2023-05-05 16:26:07浏览次数:51  
标签:log 登录 记录 用户 Linux var 日志 系统日志

为了保证 Linux 系统正常运行,遇到问题时能及时解决,高效分析系统日志是非常必要的。

Linux 系统中的日志驱动进程通常为 syslog,系统日志都可在 syslog 配置文件中配置。

我们可以通过调用 syslog 的接口进行 log,syslogd 在取到 log 后进行处理,根据配置,将 log 保存到本地或发送到其他服务器上。

默认配置下,系统日志保存在 /var/log/ 目录下。

不同系统,不同版本略有差异,本文系统信息:
image


/var/log/audit/audit.log

  • 记录系统内核、内核、用户进程的行为事件

  • 是 Linux 安全体系的重要部分

  • 比 message 记录更详细的信息,可以

    • 查看文件权限

    • 监控系统调用

    • 记录用户指令

    • 记录系统安全事件

    • 监控网络访问


/var/log/boot.log

image

  • 记录开机自检过程显示的信息

/var/log/btmp

  • 记录登录失败的用户信息、时间及远程 ip

  • 通过 lastb 命令查看内容


/var/log/cron

  • 记录 crontab 执行情况

  • crontab 误删后可以根据日志快速回复命令及调度周期

  • 系统被植入恶意定时任务,通过日志内容确定受影响时间段,从而对症下药


/var/log/dmesg

  • 记录系统开机时,内核自检信息

  • 可以用 dmesg 命令查看


/var/log/lastlog

  • 记录最后一次登录的时间、IP 等信息

  • lastlog 命令查看,会根据 UID 排序显示


/var/log/maillog

  • 记录邮件收发详细信息

/var/log/messages

  • 记录内核消息及各种应用程序的日志信息,包括:启动、IO 错误、网络错误、程序自定义日志等

/var/log/secure

  • 系统安全日志,记录用户登录认证情况,如 pop3、ssh、telnet、ftp 等记录

  • 只要涉及到需要账号密码的操作,不管成功与否都会记录


/var/log/wtmp

image

  • 永久记录每个用户登录注销及系统启动停机事件

  • log 文件无法直接打开查看,用 last 命令查看文件信息

  • 上图中每列分别显示用户名、端口、从哪儿登录、登录时间、登出时间、登录时长

  • 用户登录时,

    • login 程序在 lastlog 中查看用户的 UID,存在则把用户上次登录、注销时间和主机名写到标准输出,

    • 然后在 lastlog 中记录新的登录时间,

    • 接着在 utmp 日志中记录用户新的登陆记录,在 wtmp 追加用户的登录记录。

    • 当用户退出时,更新 wtmp 记录。最后在 utmp 日志中删除该用户对应的登陆记录


/var/run/utmp

  • 记录当前登录的用户信息

  • 文件不能直接打开查看,原理可执行命令查看 man utmp

  • 查询当前用户信息的命令执行结果就从这个 log 中取得,如:who/w/users



各种日志对于应急响应非常重要,

及时做好备份,避免恶意篡改,无法还原真相

也有停止生成日志的方法,安全意识要加强

标签:log,登录,记录,用户,Linux,var,日志,系统日志
From: https://www.cnblogs.com/rendd/p/17374459.html

相关文章

  • 如何在 AlmaLinux 8 上安装和使用 Docker
    Docker是面向开发人员和系统管理员的强大平台,可简化在软件容器内部署应用程序的过程。容器允许您将应用程序及其所有部分(代码、运行时、系统工具、系统库——通常位于/usr/bin或/usr/lib中的任何内容)打包,以便它可以在任何Linux机器上一致地运行。这包括操作系统内核和其......
  • GC日志分析之配置参数
    一、常用的GC参数我们从简单到复杂,一步一步来验证前面学习的知识,学会使用,加深巩固。启动示例程序如果是在IDEA、Eclipse等集成开发环境中,直接在文件中点击鼠标右键,选择“Run…”即可执行。如果使用JDK命令行,则可以使用javac工具来编译,使用java命令来执行(还记得吗?JDK......
  • Linux系统目录架构
    1.目录树结构图,如下:2.每个目录的具体功能描述boot:包括内核和其他系统启动时使用的文件。root:系统管理员、超级用户root的默认主目录。dev:存放设备文件的目录,linux系统把所有的设备都看成是一个文件。bin:存放可执行文件命令的地方,一般用户可以操作这些命令,比如ls,pwd等外部......
  • Linux下查找Nginx配置文件位置
    1、查看Nginx进程ps-aux|grepnginx圈出的就是Nginx的二进制文件2、测试Nginx配置文件/usr/sbin/nginx-t可以看到nginx配置文件位置3、nginx的使用(启动、重启、关闭)首先利用配置文件启动nginx。nginx-c/usr/local/nginx/conf/nginx.conf重启服务:servicenginx......
  • linux1_虚拟机Linux系统基础命令行_DOS命令
    dir:展开当前所有文件及文件夹cdtest:相对于当前目录开始的路径切换cd..:回到上一路径cd/test:绝对路径切换。window系统cdD:\test盘符不一样需要再次输入一次D:tab键:自动补全mkdir:创建空文件夹rd:删除空文件夹del:删除文件cls:清楚命令行屏幕......
  • Linux 批量修改目录权限,用户组和所有者;kill指定端口
     例:修改data目录以及该目录下所有文件的权限可读可写。chmod-R777data/ 例:修改data目录以及该目录下所有文件的用户组为:"shaun".chownshaundata/-R 例:修改data目录以及该目录下所有文件的所有者为:"shaun".chgrpshaundata/-R  #这里端口号均以8......
  • Linux定时提交网站url到百度站长脚本
    以下是一个使用Shell编写的示例脚本,用于在Linux下定时提交URL到百度搜索引擎:#!/bin/bash#要提交的URL列表urls=('http://www.example.com/page1.html''http://www.example.com/page2.html''http://www.example.com/page3.html')#百度站长平台API地址api......
  • Linux Centos7内核升级
    LinuxCentos7内核升级现在主流的centos应该都是centos7了,从centos7.2开始,内核版本为3.10,越往后内核版本越高。高版本的内核修复了许多的低版本内核的bug,因此,系统是需要提高内核版本的,从而提高安全性,稳定性,并增加更多的功能。Linux是支持多版本内核共存的,无非是系统启动的时候应......
  • 在 linux-4.9/drivers/usb/serial/ch341.c 上串口收发数据异常
    有天做USBhost串口驱动的时候发下FT\CP都没有问题,就CH341有问题,读写正常,但数据不正常。有一点稀奇,可能是ch中间有版本变更了吧。解法就更新到https://github.com/torvalds/linux/blob/master/drivers/usb/serial/ch341.c最新的代码就行,有一些函数有出入,但大体影响......
  • LInux 上 KVM 虚拟机网络问题
    通过控制台连接虚拟机,ping自己的ip,ping宿主机的ip,ping同网段的ip1.自己的ip也不通,先检查网络配置2.宿主机的ip不通,就要确认下虚拟机网卡的类型对于macvlan网卡,ping不通宿主机网卡是正常的,但可以ping通同网段的别的ip对于bridge网卡,使用brctlshow命令检查虚拟的网卡(比如......