Linux日志文件分析

---恢复内容开始---

日志保存位置

默认 var/log目录下

主要日志文件

内核及公共消息日志:message

计划任务日志:cron

系统殷桃日志:demsg

邮件系统日志:maillog

用户登陆日志:/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/utmp

内核及系统日志:

由系统服务 rsyslogd 统一管理
 软件包:rsyslog-5.8.10-8.el6.x86_64
 主要程序:/sbin/rsyslogd
 配置文件:/etc/rsyslog.conf 记录日志文件放的位置,可以通过日志文件从新定义日志放的位置。定义好之后要重启服务

rpm -q rsyslog 安装

service rsyslog status 启动

用户日志分析
 保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录事件 直接lastlog打开

 /var/log/wtmp:用户登录、注销及系统开、关机事件。2进制文件  用last命令查看,不需要跟文件路径

 /var/run/utmp:当前登录的每个用户的详细信息。2进制文件  用users、w、who命令查看

 /var/log/secure:不用户验证相关的安全性事件 用tail命令查看

/var/log/btmp:登录失败的信息,密码错误等。lastb命令查看

 分析工具
 users 、who、w、last、lastb

 

posted @ 2017-07-04 12:56  米蓝  阅读(357)  评论(0编辑  收藏  举报