linux日誌文件
⑴ 如何查看linux系統下的各種日誌文件 linux
命令名稱:cat
命令英文原意:concatenate and display files
語法:cat [文件名]
功能描述:顯示文件內容 (查看一些 行數少的文件)
範例: $ cat /etc/issue
$ cat /etc/services
命令名稱:tac 倒過來顯示
命令名稱:more (不支持後退)
語法:more [文件名]
(空格) 或f 顯示下一頁
(Enter) 顯示下一行
q或Q 退出
功能描述:分頁顯示文件內容
範例: $ more /etc/services,
更多知識請查看《Linux就該這么學》
命令名稱:less
語法:less [文件名]
f 顯示下一頁
b 顯示上一頁
(Enter) 顯示下一行
q或Q 退出
功能描述:分頁顯示文件內容(可以後退一頁)
指令名稱:head
語法:head -num [文件名]
-num 顯示文件的前num行
功能描述:查看文件的前幾行
範例:$ head -20 /etc/services
範例:$ head /etc/services
指令名稱:tail
指令所在路徑:/bin/tail
執行許可權:All User
語法:tail -num [文件名]
-num 顯示文件的後num行
-f 動態顯示文件內容
功能描述:查看文件的後幾行
範例: $ tail -30 /etc/services
⑵ 如何查看Linux日誌
/var/log
這是Linux系統上一個至關重要的文件夾。打開終端窗口,執行命令cd /var/log。現在執行命令ls,你就會看到位於該目錄下面的日誌。
使用less查看日誌
/var/log裡麵包含有最重要的日誌之一是syslog。這個特殊的日誌文件記錄下了除驗證相關消息之外的一切信息。假設你想查看這一個日誌文件的內容,可以迅速執行命令less /var/log/syslog。
使用dmesg查看日誌
dmesg命令輸出內核環緩沖區。默認情況下,該命令會顯示來自內核環緩沖區的所有信息。從終端窗口,執行命令dmesg,整個內核環緩沖區的內容就會輸出顯示。
⑶ linux系統日誌格式
1、系統常用的日誌(日誌是用來記錄重大事件的工具)
/var/log/message 系統信息日誌,包含錯誤信息等
/var/log/secure 系統登錄日誌
/var/log/cron 定時任務日誌
/var/log/maillog 郵件日誌
/var/log/boot.log 系統啟動日誌
2、日誌管理服務 rsyslog 《Linux就該這么學》
【1】作用:主要用來採集日誌,不產生日誌
【2】配置文件:/etc/rsyslog.conf
編輯文件時的格式為: ------ *.* 存放日誌文件 ------
其中第一個*代表日誌類型,第二個*代表日誌級別
⑷ 如何查看linux伺服器的日誌文件
用cat命令查看linux伺服器日誌文件。cat /var/log/messages
cat /var/log/dmesg這個是硬體的 <pre t="code" l="xml">日 志 文 件 說 明
/var/log/message 系統啟動後的信息和錯誤日誌,是Red Hat Linux中最常用的日誌之一
/var/log/secure 與安全相關的日誌信息
/var/log/maillog 與相關的日誌信息
/var/log/cron 與定時任務相關的日誌信息
/var/log/spooler 與UUCP和news設備相關的日誌信息
/var/log/boot.log 守護進程啟動和停止相關的日誌消息
⑸ Linux的日誌文件放在哪個目錄下
RedHat Linux常見的日誌文件詳述如下
◆/var/log/boot.log
該文件記錄了系統在引導過程中發生的事件,就是Linux系統開機自檢過程顯示的信息。
◆/var/log/cron
該日誌文件記錄crontab守護進程crond所派生的子進程的動作,前面加上用戶、登錄時間和PID,以及派生出的進程的動作。CMD的一個動作是cron派生出一個調度進程的常見情況。REPLACE(替換)動作記錄用戶對它的cron文件的更新,該文件列出了要周期性執行的任務調度。RELOAD動作在REPLACE動作後不久發生,這意味著cron注意到一個用戶的cron文件被更新而cron需要把它重新裝入內存。該文件可能會查到一些反常的情況。
◆/var/log/maillog
該日誌文件記錄了每一個發送到系統或從系統發出的電子郵件的活動。它可以用來查看用戶使用哪個系統發送工具或把數據發送到哪個系統。
該文件的格式是每一行包含日期、主機名、程序名,後面是包含PID或內核標識的方括弧、一個冒號和一個空格,最後是消息。該文件有一個不足,就是被記錄的入侵企圖和成功的入侵事件,被淹沒在大量的正常進程的記錄中。但該文件可以由/etc/syslog文件進行定製。由/etc/syslog.conf配置文件決定系統如何寫入/var/messages。有關如何配置/etc/syslog.conf文件決定系統日誌記錄的行為,將在後面詳細敘述。
◆/var/log/syslog
默認RedHat Linux不生成該日誌文件,但可以配置/etc/syslog.conf讓系統生成該日誌文件。它和/etc/log/messages日誌文件不同,它只記錄警告信息,常常是系統出問題的信息,所以更應該關注該文件。要讓系統生成該日誌文件,在/etc/syslog.conf文件中加上:*.warning /var/log/syslog 該日誌文件能記錄當用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等信息。
該日誌文件記錄最近成功登錄的事件和最後一次不成功的登錄事件,由login生成。在每次用戶登錄時被查詢,該文件是二進制文件,需要使用lastlog命令查看,根據UID排序顯示登錄名、埠號和上次登錄時間。如果某用戶從來沒有登錄過,就顯示為"**Never logged in**"。該命令只能以root許可權執行。
系統賬戶諸如bin、daemon、adm、uucp、mail等決不應該登錄,如果發現這些賬戶已經登錄,就說明系統可能已經被入侵了。若發現記錄的時間不是用戶上次登錄的時間,則說明該用戶的賬戶已經泄密了。
◆/var/log/wtmp
該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加,該文件的大小也會越來越大,增加的速度取決於系統用戶登錄的次數。該日誌文件可以用來查看用戶的登錄記錄,last命令就通過訪問這個文件獲得這些信息,並以反序從後向前顯示用戶的登錄記錄,last也能根據用戶、終端 tty或時間顯示相應的記錄。
命令last有兩個可選參數:
last -u 用戶名 顯示用戶上次登錄的情況。
last -t 天數 顯示指定天數之前的用戶登錄情況。
◆/var/run/utmp
該日誌文件記錄有關當前登錄的每個用戶的信息。因此這個文件會隨著用戶登錄和注銷系統而不斷變化,它只保留當時聯機的用戶記錄,不會為用戶保留永久的記錄。系統中需要查詢當前用戶狀態的程序,如 who、w、users、finger等就需要訪問這個文件。該日誌文件並不能包括所有精確的信息,因為某些突發錯誤會終止用戶登錄會話,而系統沒有及時更新 utmp記錄,因此該日誌文件的記錄不是百分之百值得信賴的。
以上提及的3個文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日誌子系統的關鍵文件,都記錄了用戶登錄的情況。這些文件的所有記錄都包含了時間戳。這些文件是按二進制保存的,故不能用less、cat之類的命令直接查看這些文件,而是需要使用相關命令通過這些文件而查看。其中,utmp和wtmp文件的數據結構是一樣的,而lastlog文件則使用另外的數據結構,關於它們的具體的數據結構可以使用man命令查詢。
每次有一個用戶登錄時,login程序在文件lastlog中查看用戶的UID。如果存在,則把用戶上次登錄、注銷時間和主機名寫到標准輸出中,然後login程序在lastlog中記錄新的登錄時間,打開utmp文件並插入用戶的utmp記錄。該記錄一直用到用戶登錄退出時刪除。utmp文件被各種命令使用,包括who、w、users和finger。
下一步,login程序打開文件wtmp附加用戶的utmp記錄。當用戶登錄退出時,具有更新時間戳的同一utmp記錄附加到文件中。wtmp文件被程序last使用。
◆/var/log/xferlog
該日誌文件記錄ftp會話,可以顯示出用戶向FTP伺服器或從伺服器拷貝了什麼文件。該文件會顯示用戶拷貝到伺服器上的用來入侵伺服器的惡意程序,以及該用戶拷貝了哪些文件供他使用。
該文件的格式為:第一個域是日期和時間,第二個域是下載文件所花費的秒數、遠程系統名稱、文件大小、本地路徑名、傳輸類型(a:ASCII,b:二進制)、與壓縮相關的標志或tar,或"_"(如果沒有壓縮的話)、傳輸方向(相對於伺服器而言:i代表進,o代表出)、訪問模式(a:匿名,g:輸入口令,r:真實用戶)、用戶名、服務名(通常是ftp)、認證方法(l:RFC931,或0),認證用戶的ID或"*"。
RedHat Linux默認沒有記錄該日誌文件。要啟用該日誌文件,必須在/etc/syslog.conf文件中添加一行:kern.* /var/log/kernlog 。這樣就啟用了向/var/log/kernlog文件中記錄所有內核消息的功能。該文件記錄了系統啟動時載入設備或使用設備的情況。一般是正常的操作,但如果記錄了沒有授權的用戶進行的這些操作,就要注意,因為有可能這就是惡意用戶的行為。
該日誌文件記錄了X-Window啟動的情況。另外,除了/var/log/外,惡意用戶也可能在別的地方留下痕跡,應該注意以下幾個地方:root和其他賬戶的shell歷史文件;用戶的各種郵箱,如.sent、mbox,以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的郵箱;臨時文件/tmp、/usr/tmp、/var/tmp;隱藏的目錄;其他惡意用戶創建的文件,通常是以"."開頭的具有隱藏屬性的文件等。
⑹ Linux系統的LOG日誌文件在什麼地方
日誌文件的默認路徑是:/var/log
下面是幾個重要的日誌文件的路徑及其包含的信息:
/var/log/syslog:它和/etc/log/messages日誌文件不同,它只記錄警告信息,常常是系統出問題的信息。
/var/log/messages:包括整體系統信息,其中也包含系統啟動期間的日誌。此外,還包括mail,cron,daemon,kern和auth等內容。
/var/log/user.log:記錄所有等級用戶信息的日誌。
/var/log/auth.log:包含系統授權信息,包括用戶登錄和使用的許可權機制等。
/var/log/daemon.log:包含各種系統後台守護進程日誌信息。
/var/log/kern.log:包含內核產生的日誌,有助於在定製內核時解決問題。
⑺ 如何查看linux系統下的各種日誌文件
日誌作為普通的文本文件存儲在磁碟中,因此可以通過查看文件的命令來查看日誌。比如:通過tail命令查看日誌的最後10行,通過head命令查看命令的開頭10行。日誌文件的默認存儲路徑是:/var/log下面是幾個重要的日誌文件:/var/log/messages:包括整體系統信息,其中也包含系統啟動期間的日誌。此外,還包括mail,cron,daemon,kern和auth等內容。/var/log/syslog:它和/etc/log/messages日誌文件不同,它只記錄警告信息,常常是系統出問題的信息。/var/log/user.log:記錄所有等級用戶信息的日誌。/var/log/auth.log:包含系統授權信息,包括用戶登錄和使用的許可權機制等。要查看最新的10條系統消息就可以使用命令:tail/var/log/messages
⑻ 配置Linux日誌文件
不要低估日誌文件對網路安全的重要作用,因為日誌文件能夠詳細記錄系統每天發生的各種各樣的事件,用戶可以通過日誌文件檢查錯誤產生的原因,或者在受到攻擊、被入侵時追蹤攻擊者的蹤跡。日誌的兩個比較重要的作用是審核和監測。配置好的Linux的日誌非常強大。對於Linux系統而言,所有的日誌文件在/var/log下。默認情況下,Linux的日誌文件沒有記錄FTP的活動。用戶可以通過修改/etc/ftpacess讓系統記錄FTP的一切活動。
/etc/syslog.conf的格式
Linux系統的日誌文件是可以配置的,在前面的章節中已經介紹了如何定製Apache、wu-ftpd、Sendmail的日誌文件。Linux系統的日誌文件是由/etc/syslog.conf決定的,用戶有必要花時間仔細配置一下/etc/syslog.conf.下面是/etc/syslog.conf的範例:
# Log all kernel messages to the kernlog.
# Logging much else clutters up the screen.
kern.*/var/log/kernlog
# Log anything (except mail) of level info or higher.
# Don't log private authentication messages!
*.info;mail.none;news.none;authpriv.none;cron.none
/var/log/messages
*.warning/var/log/syslog
# The authpriv file has restricted access.
authpriv.* /var/log/secure
# Log all the mail messages in one place.
mail.*/var/log/maillog
# Log cron stuff
cron.*/var/log/cron
# Everybody gets emergency messages, plus log them on another
# machine.
*.emerg
# Save mail and news errors of level err and higher in a
# special file.
uucp,news.crit/var/log/spooler
# Save boot messages also to boot.log
local7.*/var/log/boot.log
# INN
news.=crit /var/log/news/news.crit
news.=err /var/log/news/news.err
news.notice /var/log/news/news.notice
.
可以看出,該配置文件的每一行的第一個欄位列出要被記錄的信息種類,第二個欄位則列出被記錄的位置。第一個欄位使用下面的格式:facility.level[;facility.level…]
此處的faciity是產生信息的系統應用程序或工具,level則是這個信息的重要程度。level的重要程度由低到高依次是:debug(調試消息)、info(一般消息)、notice(值得注意的消息)、warning(警告)、err(一般性錯誤)、crit(嚴重錯誤)、alert(或emerg,緊急情況)。
facility包含有:auth(認證系統,如login或su,即詢問用戶名和口令)、cron(系統執行定時任務時發出的信息)、daemon(某些系統的守護程序的syslog,如由in.ftpd產生的log)、kern(內核的信息)、lpr(列印機的信息)、mail(處理郵件的守護進程發出的信息)、mark(定時發送消息的時標程序)、news(新聞組的守護進程的信息)、user(本地用戶的應用程序的信息)、uucp(uucp子系統的信息)和「*」(表示所有可能的facility)。
將日誌文件記錄到遠程主機
如果有另一個Linux或UNIX系統,那麼可以配置日誌文件,讓其把消息發到另外一個系統並記錄下來。這也是為什麼上面的所有日誌文件都記錄了主機名的原因。要實現這個功能,在該配置文件中,指定一個記錄動作,後面接一個由「@」開頭的遠程系統的主機名,如下例:*.warn;authpriv.notice;auth.notice @bright.hacker.com.cn
同時,還要將接受消息的目的系統設置為允許這種操作。此例主機bright.hacker.com.cn的syslogd守護進程要用-r參數啟動。如果不使用-r參數,則目標主機的syslogd將丟棄這個消息以避免DoS攻擊使硬碟塞滿虛假消息。並且確保目標主機的/etc/service文件必須設置syslog服務所使用的UDP埠514(這也是RedHat Linux默認的設置)。如果syslogd守護進程用了-r和-h參數,那麼,參數-h將允許轉發消息。也就是說,如果系統B的syslogd用了-h參數,這樣,當系統A把消息轉發到系統B後,系統B就把來自系統A和它自己的消息轉發到系統C.
將警告信息發送到控制台
syslogd可以將任何從內核發出的重要程度為emerg或alert的信息發送到控制台。控制台是指虛擬控制台或啟動時加-C參數的xterm.要實現這一功能,在/etc/syslog.conf文件中加上下面一行:kern.emerg /dev/console
這樣,當系統內核發生錯誤而發出消息時,用戶能夠馬上知道並且進行處理。如果用了「*」,就是一旦內核發生錯誤,就將消息發送給所有在線用戶,但只有這個用戶正在登錄的時候才能看到。修改了/etc/syslog.conf文件後,必須重新啟動syslogd守護進程以使配置更改生效,請執行下面的命令:#/etc/rc.d/init.d/syslog restart
⑼ linux中日誌文件存在哪裡
日誌文件通常保存在/var/log目錄下。
下面是幾個重要的日誌文件:
/var/log/messages:包括整體系統信息,其中也包含系統啟動期間的日誌。
/var/log/syslog:它和/etc/log/messages日誌文件不同,它只記錄警告信息,常常是系統出問題的信息。
/var/log/user.log:記錄所有等級用戶信息的日誌。/var/log/auth.log:包含系統授權信息,包括用戶登錄和使用的許可權機制等。
(9)linux日誌文件擴展閱讀:
日誌文件分為事件日誌和消息日誌。
事件日誌
事件日誌記錄在系統的執行中發生的事件,以便提供可用於理解系統的活動和診斷問題的跟蹤。 它們對理解復雜系統的活動至關重要,特別是在用戶交互較少的應用程序中。
它還可以用於組合來自多個源的日誌文件條目。 這種方法與統計分析相結合,可以產生不同伺服器上看起來不相關的事件之間的相關性。 其他解決方案採用網路范圍的查詢和報告。
消息日誌
互聯網中繼聊天(IRC),即時消息(IM)程序,具有聊天功能的對等文件共享客戶端和多人游戲(特別是MMORPG)通常具有自動記錄(即保存)文本通信的能力。
消息日誌幾乎是通用的純文本文件,但是IM和VoIP客戶端(其支持文本聊天,例如Skype)可以將它們保存在HTML文件中或以自定義格式以便於閱讀和加密。
參考資料:網路——日誌文件
⑽ linux中日誌文件存在哪裡
/var/log
不同的日誌有不同的位置,這個位置是可以重新定義的。