linux常见日志文件
- /var/log/boot.log 自检过程;
- /var/log/cron crontab守护进程crond所派生的子进程的动作;
- /var/log/maillog 发送到系统或从系统发出的电子邮件的活动;
- /var/log/syslog
要让系统生成syslog日志文件,需要在 /etc/rsyslog.conf 文件中加入:
*.warning /var/log/syslog
cento6以前的系统可能是 /etc/syslog.conf 文件。 - /var/run/utmp (用于记录当前打开的会话)被 who 和 w 工具用来记录当前有谁登录以及他们正在做什么,而uptime用来记录系统启动时间。
- /var/log/wtmp (用于存储系统连接历史记录)被 last 工具用来记录最后登录的用户的列表。所以我们可以通过统计字符找到某些用户的登录次数。 在/var/log/wtmp中,一次新的登录事件的特征是,第一个字段为‘7’,第三个字段是一个终端编号(或伪终端id),第四个字段为用户名。相关的登出事件会在第一个字段显示‘8’,第二个字段显示与登录一样的PID,而终端编号字段空白。
- /var/log/btmp 用于存储尝试连接系统历史记录。
在/var/log/btmp输出中,每个日志行都与一个失败的登录尝试相关(如使用不正确的密码,或者一个不存在的用户ID)。
以上三个文件可以通过utmpdump查看:utmpdump /var/log/utmp - /var/log/lastlog 每次有一个用户登录时,login程序在文件lastlog中查看用户的UID。如果存在,则把用户上次登录、注销时间和主机名写到标准输出中,然后login程序在lastlog中记录新的登录时间,打开utmp文件并插入用户的utmp记录。
参考网站:
https://www.jb51.net/os/RedHat/343795.html
https://www.cnblogs.com/wayne173/p/3768185.html
