一、日志文件的分类
1.内核及系统日志
由系统服务rsyslog统一进行管理,日志格式基本相似
软件包:rsyslog-5.8.10-8
主要程序:/sbin/rsyslogd
配置文件:/etc/rsyslog.conf
配置文件:/etc/rsyslog.conf语法
日志设备类型 说明
auth pam产生的日志
authpriv ssh,ftp等登陆信息的验证信息
cron 时间任务相关
kern 内核
lpr 打印
mail 邮件
mark(syslog) rsyslog服务内部信息的标识
news 新闻组
user 用户程序产生的相关信息
uucp Unix to Unix copy Unix主机之间的通讯
local1-7 自定义的日志设备
日志级别
级别 说明
NONE 啥都不记
EMERG 紧急(导致系统不可用)
ALERT 警告(必须马上采取措施处理)
CRIT 严重
ERR 错误
WARNING 提醒
NOTICE 注意
INFO 一般信息
DEBUG 调试信息
连接符号
符号 说明
. 记录大于等于后面的级别日志
.= 只记录等于后面的级别日志
.!= 只记录不等于后面的级别日志
日志处理方式
本地文件:通常就是文件的绝对路径
打印机:例如 /dev/lp0 这个打印机装置
用户名称:显示给用户
远程主机:例如 @202.100.100.1
*:所有在线的用户
主要日志文件介绍
内核及公共消息日志:/var/log/messages
计划任务日志:/var/log/cron
系统引导日志:/var/log/dmesg
邮件系统日志:/var/log/maillog
2.用户日志
记录系统用户登录及退出系统的相关信息
保存了用户登录、退出系统等相关信息
/var/log/lastlog:最近的用户登录事件(二进制文件)
/var/log/wtmp:用户登录、注销及系统开、关机事件(二进制文件)
/var/run/utmp:当前登录的每个用户的详细信息(二进制文件)
/var/log/secure:与用户验证相关的安全性事件
用户登录分析命令
who、w、users、last、ac、lastlog
3.程序日志
由各种应