（十七）Linux系统日志

一、查看日志服务

大部分Linux发行版默认的日志守护进程为 syslog，位于 /etc/syslog 或 /etc/syslogd 或/etc/rsyslog.d，默认配置文件为 /etc/syslog.conf 或 rsyslog.conf，任何希望生成日志的程序都可以向 syslog 发送信息。
查看日志守护进程

命令： ps aux | grep syslog
root 921 0.0 0.1 35976 928 ? Sl Jan22 0:00 /sbin/rsyslogd -i /var/run/syslogd.pid -c 5
• 注：系统centos6,rsyslogd r带有网络的性质。
• 注：centos5服务名为syslogd。本地的性质。
• 注：日志会根据大小或者日期 切换到另外一个文件，新日志还叫原名

二、日志类型

三、日志优先级

四、简要说明

1、常用日志

/var/log/messages　　  # 记录Linux操作系统常见的系统和服务错误信息
/var/log/secure 　　       # Linux系统安全日志，记录用户和工作组变坏情况、用户登陆认证情况
/var/log/maillog 　　　   # 邮件相关的日志
/var/log/dmesg 　　       # 系统启动时显示的硬件内核信息
/var/log/boot.log　　　  # 记录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息

2、二进制日志

/var/log/wtmp 　　　　    # 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，使用last命令查看。
/var/log/btmp 　　　　    # 记录Linux登陆失败的用户、时间以及远程IP地址，lastb命令查看。
/var/log/lastlog　　　      # 记录最后一次用户成功登陆的时间、登陆IP等信息使用lastlog查看。。
/var/run/utmp　　　　　  # 该日志文件记录有关当前登录的每个用户的信息。

3、日志配置文件

/etc/rsyslog.conf　　　　  # 系统日志配置文件
/etc/logrotate.conf　  　　# 定义日志切割归档
/etc/logrotate.d/syslog　 # 定义日志格式文件
/etc/logrotate.d/* 　　　  # 是一些日志自定义的服务
/etc/rsyslog.d/*.conf  　　# 自定义日志添加路径，记录日志格式

4、日志访问命令

命令：dmesg 　　　　　　# 查看硬件相关的日志
命令：last 　　　　　　 # 查看用户登陆信息
命令：lastlog　　　　　 # 查看系统所有用户最近登陆情况
命令：lastb　　　　　　 # 查看无效登陆的历史

四、详细说明

/var/log/messages
日志说明
messages 日志是核心系统日志文件。
包含了系统启动时的引导消息，以及系统运行时的其他状态消息。
IO 错误、网络错误和其他系统错误都会记录到这个文件中。
其他信息，比如某个人的身份切换为 root，也在这里列出。
如果服务正在运行，比如 DHCP 服务器，您可以在 messages 文件中观察它的活动。
通常/var/log/messages 是您在做故障诊断时首先要查看的文件。
日志测试

Jan 23 03:03:04 localhost dhclient[30603]: DHCPOFFER from 192.168.1.1
Jan 23 03:03:04 localhost dhclient[30603]: DHCPREQUEST on eth0 to 255.255.255.255 port 67 (xid=0x2c3377ff)
Jan 23 03:03:05 localhost dhclient[30603]: DHCPACK from 192.168.1.1 (xid=0x2c3377ff)
Jan 23 03:03:07 localhost NET[30879]: /sbin/dhclient-script : updated /etc/resolv.conf
Jan 23 03:03:07 localhost dhclient[30603]: bound to 192.168.1.107 -- renewal in 3569 seconds.
Jan 23 03:26:40 localhost kernel: e1000: eth0 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
Jan 23 03:26:40 localhost kernel: ADDRCONF(NETDEV_UP): eth0: link is not ready
Jan 23 03:26:40 localhost kernel: ADDRCONF(NETDEV_CHANGE): eth0: link becomes ready

/var/log/btmp

root     ssh:notty    192.168.1.106    Tue Jan 23 04:56 - 04:56  (00:00)   
root     ssh:notty    192.168.1.106    Tue Jan 23 04:56 - 04:56  (00:00)   
*[A*[B** ssh:notty    192.168.1.154    Mon Jan 22 14:21 - 14:21  (00:00)   
btmp begins Mon Jan 22 14:21:36 2018

/var/log/wtmp

root     pts/0        192.168.1.106    Tue Jan 23 04:44   still logged in 
root     pts/4        192.168.1.150    Tue Jan 23 03:14   still logged in 
root     pts/3        192.168.1.150    Tue Jan 23 03:02   still logged in 
root     pts/2        192.168.1.107    Tue Jan 23 02:01   still logged in 
root     pts/0        192.168.1.150    Tue Jan 23 01:34 - 04:08  (02:34)   
root     pts/1        192.168.1.150    Tue Jan 23 00:26 - 03:34  (03:08)   
root     pts/0        192.168.1.150    Mon Jan 22 21:59 - 00:26  (02:27)   
root     pts/1        192.168.1.150    Mon Jan 22 19:47 - 23:03  (03:16)   
root     pts/0        192.168.1.150    Mon Jan 22 18:58 - 21:51  (02:53)   
root     pts/3        192.168.1.150    Mon Jan 22 14:22 - 20:58  (06:36)   
root     pts/2        192.168.1.154    Mon Jan 22 14:21 - 14:24  (00:02)   
root     pts/1        192.168.1.150    Mon Jan 22 14:20 - 15:22  (01:01)   
root     tty1                          Mon Jan 22 13:56   still logged in 
root     pts/1        192.168.1.150    Mon Jan 22 11:26 - 13:54  (02:28)   
root     pts/1        192.168.1.150    Mon Jan 22 11:24 - 11:26  (00:01)   
root     pts/0        192.168.1.150    Mon Jan 22 11:22 - 16:08  (04:45)   
reboot   system boot  2.6.32-431.el6.i Mon Jan 22 11:09 - 04:50  (17:41)   
root     tty1                          Mon Jan 22 10:55 - down   (00:13)   
root     pts/1        192.168.1.150    Mon Jan 22 10:47 - 10:47  (00:00)   
root     pts/0        192.168.1.150    Mon Jan 22 10:19 - down   (00:49)   
reboot   system boot  2.6.32-431.el6.i Mon Jan 22 10:17 - 11:09  (00:51)   
root     pts/0        192.168.1.103    Tue Dec 26 10:15 - crash (27+00:02) 
root     pts/1        192.168.1.151    Sun Dec 24 00:33 - down   (08:31)   
root     pts/0        192.168.1.151    Sun Dec 24 00:07 - 00:42  (00:34)   
root     tty1                          Sat Dec 23 23:36 - down   (09:28)   
root     pts/0        192.168.1.151    Sat Dec 23 23:31 - 00:06  (00:35)   
reboot   system boot  2.6.32-431.el6.i Sat Dec 23 23:29 - 09:05  (09:35)   
root     pts/0        192.168.1.151    Sat Dec 23 20:46 - crash  (02:43)   
root     tty1                          Sat Dec 23 20:45 - crash  (02:44)   
reboot   system boot  2.6.32-431.el6.i Sat Dec 23 20:44 - 09:05  (12:20)   
wtmp begins Sat Dec 23 20:44:29 2017

/var/log/dmesg
/var/log/maillog
/var/log/secure
/var/log/lastlog
/var/log/wtmp
/var/run/utmp
/etc/rsyslog.conf
• # 不打印 带#行 与空行。
• 命令：grep -v '^$' /etc/rsyslog.conf | grep -v '^#'
/etc/logrotate.conf
/etc/logrotate.d/syslog

posted @ 2022-06-08 16:00 比特边界阅读(1294) 评论(0) 编辑收藏举报

会员力量，点亮园子希望

刷新页面返回顶部

比特边界