日志文件是记录Linux系统中各种运行消息的文件,相当于Linux系统的“日记”。不同的日志文件记载了不同类型的信息,如内核信息、用户日志、程序错误等。
在Linux系统中,主要包含三种日志:
-
内核及系统日志:由系统服务rsyslog统一管理,其主配置文件/etc/rsyslog.conf设置了将内核消息及各种系统程序消息记录到什么位置。
-
用户日志:这种日志主要记录Linux系统用户登陆及退出的相关信息,包括用户名、登陆的终端、登陆时间、来源主机、正在使用的进程等。
-
程序日志:有些应用程序会选择由自己独立管理日志文件,如httpd、MySQL等,用于记录本程序运行过程中的各种事件信息。
下面介绍常见的日志文件:
-
/var/log/messages——记录系统内核及各种应用程序的公共日志信息,如启动、I/O错误、网络错误、程序故障等。
-
/var/log/cron——记录crond计划任务产生的事件信息。
-
/var/log/dmesg——记录系统在引导过程中的各种事件信息。
-
/var/log/maillog——记录进入或发出系统的电子邮件活动。
-
/var/log/lastlog——记录每个用户最近的登陆信息,为二进制文件。
-
/var/log/secure——记录用户认证相关的安全事件信息。
-
/var/log/wtmp——记录每个用户登陆、注销及系统启动和停机事件,为二进制文件
-
/var/log/btmp——记录失败的、错误的登陆尝试及验证事件。
内核及大多数系统日志记录在公共日志文件/var/log/messages中,很多程序日志由应用程序自己管理,而用户日志大多是二进制文件,需要用相关的命令来查看。如:
1 显示当前系统用户:
[root@localhost log]# whoami #显示当前登陆的用户
root
[root@localhost log]# users #简单显示登陆到系统的所有用户
root zwj
[root@localhost log]# who #显示所有登陆到系统的用户包括终端、时间等
root pts/0 2017-04-19 10:37 (192.168.154.1)
zwj pts/1 2017-04-19 14:15 (192.168.154.1)
[root@localhost log]# w #和who类似,只是内容更详细
14:22:25 up 6:17, 2 users, load average: 0.12, 0.11, 0.14
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.154.1 10:37 0.00s 1.05s 0.11s w
zwj pts/1 192.168.154.1 14:15 3:08 0.06s 0.06s -bash
2 查询用户登陆历史记录
last:显示成功登陆到系统的用户记录(/var/log/wtmp文件)
选项:-n 最近几次
[root@localhost ~]# last
[root@localhost ~]# last -20
lastlog:显示每用户最近一次登陆信息
[root@localhost ~]# lastlog
[root@localhost ~]# lastlog -u root #-u:指明具体用户
lastb:显示登陆失败的用户记录(/var/log/btmp文件)
[root@localhost ~]# lastb
