Linux日志系统分析
会看Linux日志是非常重要的,不仅在日常操作中可以迅速排错,也可以快速的定位。
在 linux 系统当中,有三个主要的日志子系统:
- 连接时间日志: 由多个程序执行,把记录写入到/var/log/wtmp和/var/run/utmp,
login等程序会更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。 - 进程统计:由系统内核执行,当一个进程终止时,为每个进程往进程统计文件中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计
- 错误日志:由rsyslogd守护程序执行,各种系统守护进程、用户程序和内核通过rsyslogd守护程序向文件/var/log/messages报告值得注意的时间。另外有许多linux程序创建日志,像HTTP和FTP这样提供的服务器也保持详细的日志。
- 其它日志…
日志的保存位置
默认日志位于 /var/log 目录下:
主要日志文件介绍:
内核及公共消息日志:/var/log/messages
计划任务日志:/var/log/cron
系统引导日志:/var/log/dmesg
邮件系统日志:/var/log/maillog
用户登录日志:/var/log/lastlog
/var/log/boot.log(记录系统在引导过程中发生的时间)
/var/log/secure (用户验证相关的安全性事件)
/var/log/wtmp(当前登录用户详细信息)
/var/log/btmp(记录失败的的记录)
/var/run/utmp(用户登录、注销及系统开、关等事件)
命令
查看最近谁登录过系统
[ybs@localhost ~]$ last
ybs pts/2 :0 Fri May 15 19:37 still logged in
ybs pts/2 :0 Fri May 15 09:19 - 09:19 (00:00)
ybs pts/2 :0 Fri May 15 09:14 - 09:16 (00:01)
ybs pts/2 :0 Thu May 14 20:56 - 20:56 (00:00)
ybs pts/2 :0 Thu May 14 18:59 - 19:00 (00:00)
ybs pts/0 :0 Thu May 14 12:15 - 16:06 (2+03:50)
ybs pts/0 :0 Thu May 14 12:14 - 12:14 (00:00)
ybs :0 :0 Thu May 14 12:08 still logged in
reboot system boot 3.10.0-1127.el7. Thu May 14 20:07 - 17:37 (1+21:30)
ybs pts/1 :0 Thu May 14 10:02 - 10:03 (00:00)
ybs pts/3 :0 Wed May 13 20:12 - 20:12 (00:00)
ybs pts/3 :0 Wed May 13 15:36 - 15:36 (00:00)
ybs pts/3 :0 Tue May 12 18:05 - 18:05 (00:00)
ybs pts/3 :0 Tue May 12 18:04 - 18:04 (00:00)
ybs pts/3 :0 Tue May 12 18:04 - 18:04 (00:00)
ybs pts/4 :0 Tue May 12 16:00 - 16:00 (00:00)
ybs pts/4 :0 Tue May 12 13:00 - 13:01 (00:00)
ybs pts/4 :0 Tue May 12 12:42 - 12:43 (00:00)
ybs pts/4 :0 Tue May 12 12:41 - 12:42 (00:00)
ybs pts/3 :0 Tue May 12 12:41 - 16:01 (03:19)
ybs pts/3 :0 Mon May 11 21:21 - 21:21 (00:00)
ybs pts/3 :0 Mon May 11 21:17 - 21:17 (00:00)
ybs pts/3 :0 Mon May 11 17:39 - 18:36 (00:56)
ybs pts/4 :0 Mon May 11 17:39 - 17:39 (00:00)
ybs pts/3 :0 Mon May 11 17:38 - 17:39 (00:01)
未完待续。。
204
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
