Linux操作系統(tǒng)的日志說明及分析

　　Linux操作系統(tǒng)的系統(tǒng)日志是記錄系統(tǒng)操作信息的，是很重要的一個日志文件。下面由學(xué)習(xí)啦小編為大家整理了Linux操作系統(tǒng)的日志說明及分析，希望對大家有幫助!

　　Linux操作系統(tǒng)的日志說明及分析

　　Linux操作系統(tǒng)的日志說明

　　【Linux日志】系統(tǒng)日志及分析Linux系統(tǒng)擁有非常靈活和強大的日志功能，可以保存幾乎所有的操作記錄，并可以從中檢索出我們需要的信息。

　　大部分Linux發(fā)行版默認(rèn)的日志守護(hù)進(jìn)程為 syslog，位于 /etc/syslog 或 /etc/syslogd 或/etc/rsyslog.d，默認(rèn)配置文件為 /etc/syslog.conf 或 rsyslog.conf，任何希望生成日志的程序都可以向 syslog 發(fā)送信息。

　　Linux系統(tǒng)內(nèi)核和許多程序會產(chǎn)生各種錯誤信息、警告信息和其他的提示信息，這些信息對管理員了解系統(tǒng)的運行狀態(tài)是非常有用的，所以應(yīng)該把它們寫到日志文件中去。

　　完成這個過程的程序就是syslog。syslog可以根據(jù)日志的類別和優(yōu)先級將日志保存到不同的文件中。

　　例如，為了方便查閱，可以把內(nèi)核信息與其他信息分開，單獨保存到一個獨立的日志文件中。默認(rèn)配置下，日志文件通常都保存在“/var/log”目錄下。

　　日志類型

　　下面是常見的日志類型，但并不是所有的Linux發(fā)行版都包含這些類型：

　　日志優(yōu)先級

　　常見的日志優(yōu)先級請見下標(biāo)：

　　常用日志文件

　　系統(tǒng)日志是由一個名為syslog的服務(wù)管理的，如以下日志文件都是由syslog日志服務(wù)驅(qū)動的：

　　/var/log/boot.log：錄了系統(tǒng)在引導(dǎo)過程中發(fā)生的事件，就是Linux系統(tǒng)開機自檢過程顯示的信息

　　/var/log/lastlog ：記錄最后一次用戶成功登陸的時間、登陸IP等信息

　　/var/log/messages ：記錄Linux操作系統(tǒng)常見的系統(tǒng)和服務(wù)錯誤信息

　　/var/log/secure ：Linux系統(tǒng)安全日志，記錄用戶和工作組變壞情況、用戶登陸認(rèn)證情況

　　/var/log/btmp ：記錄Linux登陸失敗的用戶、時間以及遠(yuǎn)程IP地址

　　/var/log/syslog：只記錄警告信息，常常是系統(tǒng)出問題的信息，使用lastlog查看

　　/var/log/wtmp：該日志文件永久記錄每個用戶登錄、注銷及系統(tǒng)的啟動、停機的事件，使用last命令查看

　　/var/run/utmp：該日志文件記錄有關(guān)當(dāng)前登錄的每個用戶的信息。如 who、w、users、finger等就需要訪問這個文件

　　/var/log/syslog 或 /var/log/messages 存儲所有的全局系統(tǒng)活動數(shù)據(jù)，包括開機信息?；?Debian 的系統(tǒng)如 Ubuntu 在 /var/log/syslog 中存儲它們，而基于 RedHat 的系統(tǒng)如 RHEL 或 CentOS 則在 /var/log/messages 中存儲它們。

　　/var/log/auth.log 或 /var/log/secure 存儲來自可插拔認(rèn)證模塊(PAM)的日志，包括成功的登錄，失敗的登錄嘗試和認(rèn)證方式。Ubuntu 和 Debian 在 /var/log/auth.log 中存儲認(rèn)證信息，而 RedHat 和 CentOS 則在 /var/log/secure 中存儲該信息。

　　Linux操作系統(tǒng)的日志文件分析

　　/var/log/boot.log

　　該文件記錄了系統(tǒng)在引導(dǎo)過程中發(fā)生的事件，就是Linux系統(tǒng)開機自檢過程顯示的信息。

　　/var/log/syslog

　　默認(rèn)Centos，F(xiàn)edora不生成該日志文件，但可以配置/etc/syslog.conf讓系統(tǒng)生成該日志文件。

　　它和/etc/log/messages日志文件不同，它只記錄警告信息，常常是系統(tǒng)出問題的信息，所以更應(yīng)該關(guān)注該文件。

　　要讓系統(tǒng)生成該日志文件，在/etc/syslog.conf文件中加上：*.warning /var/log/syslog 該日志文件能記錄當(dāng)用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執(zhí)行失敗等信息。

　　該日志文件記錄最近成功登錄的事件和最后一次不成功的登錄事件，由login生成。在每次用戶登錄時被查詢，該文件是二進(jìn)制文件，需要使用lastlog命令查看，根據(jù)UID排序顯示登錄名、端口號和上次登錄時間。如果某用戶從來沒有登錄過，就顯示為"**Never logged in**"。該命令只能以root權(quán)限執(zhí)行。簡單地輸入lastlog命令后就會看到類似圖4的信息：

　　/var/log/wtmp

　　該日志文件永久記錄每個用戶登錄、注銷及系統(tǒng)的啟動、停機的事件。因此隨著系統(tǒng)正常運行時間的增加，該文件的大小也會越來越大，增加的速度取決于系統(tǒng)用戶登錄的次數(shù)。該日志文件可以用來查看用戶的登錄記錄，last命令就通過訪問這個文件獲得這些信息，并以反序從后向前顯示用戶的登錄記錄，last也能根據(jù)用戶、終端tty或時間顯示相應(yīng)的記錄。

　　/var/run/utmp

　　該日志文件記錄有關(guān)當(dāng)前登錄的每個用戶的信息。因此這個文件會隨著用戶登錄和注銷系統(tǒng)而不斷變化，它只保留當(dāng)時聯(lián)機的用戶記錄，不會為用戶保留永久的記錄。系統(tǒng)中需要查詢當(dāng)前用戶狀態(tài)的程序，如 who、w、users、finger等就需要訪問這個文件。該日志文件并不能包括所有精確的信息，因為某些突發(fā)錯誤會終止用戶登錄會話，而系統(tǒng)沒有及時更新 utmp記錄，因此該日志文件的記錄不是百分之百值得信賴的。

　　以上提及的3個文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日志子系統(tǒng)的關(guān)鍵文件，都記錄了用戶登錄的情況。這些文件的所有記錄都包含了時間戳。這些文件是按二進(jìn)制保存的，故不能用less、cat之類的命令直接查看這些文件，而是需要使用相關(guān)命令通過這些文件而查看。其中，utmp和wtmp文件的數(shù)據(jù)結(jié)構(gòu)是一樣的，而lastlog文件則使用另外的數(shù)據(jù)結(jié)構(gòu)，關(guān)于它們的具體的數(shù)據(jù)結(jié)構(gòu)可以使用man命令查詢。

　　每次有一個用戶登錄時，login程序在文件lastlog中查看用戶的UID。如果存在，則把用戶上次登錄、注銷時間和主機名寫到標(biāo)準(zhǔn)輸出中，然后login程序在lastlog中記錄新的登錄時間，打開utmp文件并插入用戶的utmp記錄。該記錄一直用到用戶登錄退出時刪除。utmp文件被各種命令使用，包括who、w、users和finger。

　　下一步，login程序打開文件wtmp附加用戶的utmp記錄。當(dāng)用戶登錄退出時，具有更新時間戳的同一utmp記錄附加到文件中。wtmp文件被程序last使用。