关于Linux日志的学习笔记

日志是审计的基础，主要用于记录系统、程序运行中发生的各种事件，通过阅读日志有助于诊断和解决系统故障。

日志文件的分类：

内核及系统日志：由系统服务rsyslogd统一进行管理，日志格式基本相似。

用户日志：记录系统用户登录和退出系统的相关信息。

程序日志：由各种应用程序独立管理的日志文件，记录格式不统一。

三个主要的日志子系统：

连接时间日志：由多个程序执行，将记录写入到/var/log/wtmp和/var/run/utmp，login等程序会更新wtmp和utmp文件，是系统管理员能跟踪谁在何时登录系统。

进程统计：由系统内核执行。

错误日志：由rsyslogd守护进程执行。

日志保存位置：

默认保存在/var/log目录下。

主要日志文件：

内核及公共消息日志：/var/log/messages

计划任务日志：/var/log/cron

系统引导日志：/var/log/dmesg

邮件系统日志：/var/log/maillog

用户登录日志：/var/log/lastlog（最近的用户登录事件）

/var/log/secure（用户验证相关的安全性事件）

/var/log/wtmp（当前登录用户详细信息）

/var/run/utmp（用户登录、注销和系统开、关机等事件）

······

用户日志：

关于当前登录用户的信息记录在文件utmp中，其可被各种命令使用，包括who、w、users和finger。

登录和退出、数据交换、关机和重启等信息都记录在wtmp文件中，其可被last和ac命令使用。

所有的记录都包含时间截，且两个文件都是二进制文件，不能用tail、cat等命令来查看或操作。

相关的命令：

访问utmp文件，显示当前正在登录的用户：who

访问wtmp文件，显示自文件创建以来所有登陆过的用户：last



查看root用户登录的记录：last root

统计root用户登录的总时间：ac root

（ac命令需要安装，输入apt-get install acct即可）

统计用户最后登录的时间，记录在/var/log/lastlog文件中：lastlog

内核及系统日志：

由系统服务rsyslogd统一管理，主要程序为/sbin/rsyslogd，配置文件为/etc/rsyslog.conf

查看配置文件：grep –v “^$” /etc/rsyslog.conf

日志消息级别：0-7，从紧急到调试

日志记录的一般格式：时间戳+主机名+子系统+消息级别+消息字段内容

程序日志：

由各个应用程序独立管理。

分析工具：

文本查看、grep过滤检索、Webmin管理套件中查看

awk、sed等文本过滤、格式化编辑工具

Webalizer、Awstats等专用日志分析工具