Linux日志文件绝大多数存放在/var/log目录,其中一些日志文件由应用程序创建,其他的则通过syslog来创建。
Linux系统日志文件通过syslog守护程序在syslog套接字/dev/log上监听日志信息,然后将它们写入适当的日志文件中。
一般情况下,只需要关注核心的系统和应用程序日志。
例如:
全局系统活动信息等
基于 Debian 的系统,如 Ubuntu 在 /var/log/syslog 中存储。
基于 RedHat 的系统,如 RHEL 或 CentOS 在 /var/log/messages 中存储。
验证和授权信息等
Ubuntu 在 /var/log/auth.log 中存储
RedHat 和 CentOS 在 /var/log/secure 中存储。
进程统计监控日志
当服务器最近发现经常无故关机或者无故被人删除文件等现象时,可以通过使用进程统计日志查看:
#accton /var/account/pacct //开启进程统计日志监控
#lastcomm //查看进程统计日志情况
#accton //关闭进程统计日志监控
常见日志
/var/log/messages —> 整体系统信息,其中也包含系统启动期间的日志。
/var/log/dmesg —> 内核缓冲信息(kernel ring buffer)。用dmesg查看系统启动信息。
/var/log/auth.log —> 系统授权信息,包括用户登录和使用的权限机制等。
/var/log/boot.log —> 系统启动时的日志。
/var/log/daemon.log —> 系统后台守护进程日志信息。
/var/log/dpkg.log —> 安装或dpkg命令清除软件包的日志。
/var/log/kern.log —> 内核产生的日志。
/var/log/lastlog —> 记录所有用户的最近信息。用lastlog命令查看内容。
/var/log/maillog 或 /var/log/mail.log —> 电子邮件服务器的日志信息。
/var/log/user.log —> 记录所有等级用户信息的日志。
/var/log/alternatives.log —> 更新替代信息都记录在这个文件中。
/var/log/btmp —> 记录所有失败登录信息(用户、时间以及远程IP地址)。使用last命令查看,例如:last -f /var/log/btmp | more。
/var/log/cups —> 涉及所有打印信息的日志。
/var/log/anaconda.log —> Linux系统安装信息。
/var/log/yum.log —> 使用yum安装的软件包信息。
/var/log/cron —> crond计划任务服务执行情况。
/var/log/secure —> 系统安全日志、验证和授权信息。
/var/log/wtmp或/var/log/utmp —> 登录信息。使用 w/who/finger/id/last/lastlog/ac 进行查看。
/var/log/faillog —> 用户登录失败信息。
日志工具
logger ---> a shell command interface to the syslog(3) system log module
logrotate ---> 日志管理
logwatch ---> 日志分析监控
参考信息
Linux日志基础与分析
Linux日志使用的重要原则
系统管理人员要应该提高警惕,随时注意各种可疑状况,并且按时和随机地检查各种系统日志文件,包括一般信息日志、网络连接日志、文件传输日志以及用户登录日志等。在检查这些日志时,要注意是否有不合常理的时间记载。例如:
用户在非常规的时间登录;
不正常的日志记录,比如日志的残缺不全或者是诸如wtmp这样的日志文件无故地缺少了中间的记录文件;
用户登录系统的IP地址和以往的不一样;
用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录;
非法使用或不正当使用超级用户权限su的指令;
无故或者非法重新启动各项网络服务的记录。
尤其提醒管理人员注意的是:日志并不是完全可靠的。高明的黑客在入侵系统后,经常会打扫现场。所以需要综合运用以上的系统命令,全面、综合的进行审查和检测,切忌断章取义,否则很难发现入侵或者做出错误的判断。
另外,在有些情况下,可以把日志送到打印机,这样网络入侵者怎么修改日志都没有用。并且,通常要广泛记录日志。另外,syslog设备是一个攻击者的显著目标。一个为其他主机维护日志的系统对于防范服务器攻击特别脆弱,因此要特别注意。
转载请注明:SuperIT » Linux – 日志文件简介