Linux的登录文件对解决系统的故障,解决网络服务问题和记录登录信息有很大的意义。
常用的登录文件如下:
1) /var/log/secure: 记录登录系统访问数据的文件,如POP3、ssh、telnet、ftp等。
属性:
-rw------- 1 root root 3480 5月 1 17:20 secure
内容举例:
May 1 17:19:46 localhost sshd[2053]: Accepted password for flagonxia from 192.168.202.1 port 1046 ssh2
May 1 17:20:41 localhost sudo: flagonxi : user NOT in sudoers ; TTY=pts/1 ; PWD=/var/log ; USER=root ; COMMAND=/bin/cat secure
记录了ssh访问时,发起登录的主机IP地址和端口;使用sudo命令出现的错误信息“user NOT in sudoers"。
2) /var/log/wtmp: 记录登录者的信息数据
属性:
-rw-rw-r-- 1 root utmp 102528 5月 1 17:29 /var/log/wtmp
内容举例:
由于该文件被编码过,无法直接查看它的内容,要查看的话需要使用last,如:
last -n 5 -f /var/log/wtmp.1 -- 读上一个wtmp文件(已经轮换了)
last命令默认读取/var/log/wtmp,如要读取其他文件,需要使用-f参数,如上例。
3) /var/log/messages: 系统的错误信息(或者重要信息)都会记录在这个文件中
属性:
-rw------- 1 root root 65684 5月 1 17:34 messages
内容举例:
4) /var/log/boot.log: 记录开机或者一些服务启动时所显示的启动或关闭信息
属性:
-rw------- 1 root root 8150 1月 19 19:21 boot.log
内容举例:
Jan 19 19:21:23 localhost syslog: syslogd startup succeeded
Jan 19 19:21:23 localhost syslog: klogd startup succeeded
Jan 19 19:21:24 localhost 1<D4><C2> 19 19:21:23 portmap: portmap startup succeeded
Jan 19 19:21:24 localhost nfslock: rpc.statd startup succeeded
Jan 19 19:21:24 localhost keytable: Loading keymap:
Jan 19 19:21:24 localhost keytable:
Jan 19 19:21:24 localhost keytable:
Jan 19 19:21:24 localhost rc: Starting keytable: succeeded
Jan 19 19:21:20 localhost network: Setting network parameters: succeeded
Jan 19 19:21:20 localhost network: Bringing up loopback interface: succeeded
Jan 19 19:21:28 localhost random: Initializing random number generator: succeeded
Jan 19 19:21:28 localhost rc: Starting pcmcia: succeeded
Jan 19 19:21:28 localhost netfs: Mounting other filesystems: succeeded
Jan 19 19:21:28 localhost apmd: apmd startup succeeded
Jan 19 19:21:29 localhost autofs: automount startup succeeded
Jan 19 19:21:30 localhost sshd: succeeded
Jan 19 19:21:33 localhost xinetd: xinetd startup succeeded
Jan 19 19:21:33 localhost vsftpd: true startup succeeded
Jan 19 19:21:34 localhost sendmail: sendmail startup succeeded
Jan 19 19:21:34 localhost sendmail: sm-client startup succeeded
Jan 19 19:21:34 localhost gpm: gpm startup succeeded
Jan 19 19:21:35 localhost crond: crond startup succeeded
Jan 19 19:21:37 localhost cups: cupsd startup succeeded
Jan 19 19:21:39 localhost xfs: xfs startup succeeded
Jan 19 19:21:39 localhost anacron: anacron startup succeeded
Jan 19 19:21:39 localhost atd: atd startup succeeded
Linux中常用的服务,可见:http://linux.chinaitlab.com/administer/717452.html。
为避免上面链接会更改,我会引用这篇文章到我的博客里。
5)/var/log/maillog 或者/var/log/mail/* 记录邮件访问或往来(sendmail与pop3)的用户记录
属性
-rw------- 1 root root 8337 5月 1 17:20 maillog
内容举例:
May 1 17:20:41 localhost sendmail[2094]: n419KfcM002093: to=<root@localhost.localdomain>, ctladdr=<root@localhost.localdomain> (0/0
), delay=00:00:00, xdelay=00:00:00, mailer=local, pri=30743, dsn=2.0.0, stat=Sent
6) /var/log/cron 记录crontab例行性服务的内容
属性:
-rw------- 1 root root 2454 1月 19 19:21 cron
7) /var/log/httpd, /var/log/news, /var/log/mysqld.log, /var/log/samba, /var/log/procmail.log
网络服务的记录文件
8) /var/log/lastlog 当前系统每个账号最近一次的登录时间。
可以使用lastlog命令查看。
在Linux的登录文件系统中,由特定的守护进程syslogd来写入信息。只要软件套件支持syslogd的登录文件写入模式,那么该软件套件的细腻系就会写入到syslogd管理的登录文件中。
登录文件的备份工作有logrotate完成,它还能实现文件的轮转。详见我的另一篇博客。