Linux日志文件分析
---恢复内容开始---
日志保存位置
默认 var/log目录下
主要日志文件
内核及公共消息日志:message
计划任务日志:cron
系统殷桃日志:demsg
邮件系统日志:maillog
用户登陆日志:/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/utmp
内核及系统日志:
由系统服务 rsyslogd 统一管理
软件包:rsyslog-5.8.10-8.el6.x86_64
主要程序:/sbin/rsyslogd
配置文件:/etc/rsyslog.conf 记录日志文件放的位置,可以通过日志文件从新定义日志放的位置。定义好之后要重启服务
rpm -q rsyslog 安装
service rsyslog status 启动
用户日志分析
保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录事件 直接lastlog打开
/var/log/wtmp:用户登录、注销及系统开、关机事件。2进制文件 用last命令查看,不需要跟文件路径
/var/run/utmp:当前登录的每个用户的详细信息。2进制文件 用users、w、who命令查看
/var/log/secure:不用户验证相关的安全性事件 用tail命令查看
/var/log/btmp:登录失败的信息,密码错误等。lastb命令查看
分析工具
users 、who、w、last、lastb