linux日志分析

linux日志默认存放位置：/var/log/
查看日志配置情况：more /etc/rsyslog.conf

1.常见linux文件

/var/log/boot.log：录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息
 
/var/log/lastlog ：记录最后一次用户成功登陆的时间、登陆IP等信息
 
/var/log/messages ：记录Linux操作系统常见的系统和服务错误信息
 
/var/log/secure ：Linux系统安全日志，记录用户和工作组变坏情况、用户登陆认证情况
 
/var/log/btmp ：记录Linux登陆失败的用户、时间以及远程IP地址
 
/var/log/syslog：只记录警告信息，常常是系统出问题的信息，使用lastlog查看
 
/var/log/wtmp：该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，使用last命令查看
 
/var/run/utmp：该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件
 
/var/log/syslog 或 /var/log/messages 存储所有的全局系统活动数据，包括开机信息。基于 Debian 的系统如 Ubuntu 在 /var/log/syslog 中存储它们，而基于 RedHat 的系统如 RHEL 或 CentOS 则在 /var/log/messages 中存储它们。
 
/var/log/auth.log 或 /var/log/secure 存储来自可插拔认证模块(PAM)的日志，包括成功的登录，失败的登录尝试和认证方式。Ubuntu 和 Debian 在 /var/log/auth.log 中存储认证信息，而 RedHat 和 CentOS 则在 /var/log/secure 中存储该信息。
比较重要的几个日志： 登录失败记录：/var/log/btmp //lastb 最后一次登录：/var/log/lastlog //lastlog 登录成功记录: /var/log/wtmp //last 登录日志

2.查询方法

Linux下常用的shell命令如：grep 、find、egrep、awk、sed
1.grep

grep [-abcEFGhHilLnqrsvVwxy][-A<显示行数>][-B<显示列数>][-C<显示列数>][-d<进行动作>