日志是系统管理里最重要组成部分之一。常用的日志文件如下:
access-log 纪录HTTP/web的传输
acct/pact 纪录用户命令
aculog 纪录MODEM的活动
btmp 纪录失败的纪录
lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录
messages 从syslog中记录信息(有的链接到syslog文件)
sudolog 纪录使用sudo发出的命令
sulog 纪录使用su命令的使用
syslog 从syslog中记录信息(通常链接到messages文件)
utmp 纪录当前登录的每个用户
wtmp 一个用户每次登录进入和退出时间的永久纪录
xferlog 纪录FTP会话
lastlog 记录每个用户的最近一次的登陆时间和每个用户的最初目的地
utmp
日志记录以前登陆到系统中的所有用户。这个文件随着用进入和离开系统而不断的变化,它还会为系统中的用户保持很长的历史记录,utmp日志通常存储在/etc/utmp,可以使用w 和who 命令查看utmp。现在的utmp一般都有一个utmpx文件做为日志记录的补充。
wtmp
记录用户登陆和退出事件,它和utmp类似。但它随着登陆的次数的增加它会变得越来越大.有些系统的ftp访问也在这个文件里记录。同时它也记录正常的系统退出时间。可以使用last和ac命令访问它。
syslog & messages
通过查看/etc/syslog.conf我们可以知道syslog记录些什么。很多各种各样的程序产生的日志都由它记录。同时它还有一个syslogd进程为它服务。在缺省时,它把大多的信息传给/var/adm/messages
sulog sulog为切换用户命令su的使用记录日志,通常在/var/adm/sulog 。
shell记录
.sh_history (ksh),.history(csh),或.bash_history(bash)等,是shell执行时的历史记录。记录用户执行的命令。它一般存在 于用户的主目录。