linux记录日志

1. 查看和打印日志的linux命令

Linux系统日志文件存放在/var/log下
/var/log/cron 记录了系统定时任务相关的日志；
/var/log/cups 记录打印信息的日志；
/var/log/dmesg 记录了系统在开机时内核自检的信息，也可以使用dmesg命令直接查看内核自检信息。
/var/log/btmp 记录错误登录的日志，这个文件是二进制文件，不能直接vi查看，而要使用lastb命令查看；
/var/log/lastlog 记录系统中所有用户最后一次的登录时间的日志。这个文件也是二进制文件，不能直接vi，而要使用lastlog命令查看。
/var/log/mailog 记录邮件信息；

/var/log/message 记录系统重要信息的日志，记录Linux系统的绝大多数重要信息，如果系统出现问题，首先要检查的就是应该是这个日志文件；
/var/log/secure 记录验证和授权方面的信息，只要涉及账户和密码的程序都会记录。比如说系统的登录，ssh的登录，su切换用户，sudo授权，甚至添加用户和修改用户密码；
/var/log/wtmp 永久记录所有用户的登录、注销信息，同时记录系统的启动、重启、关机事件。同样这个文件也是一个二进制文件不能直接vi而需要使用last命令来查看；
/var/run/utmp 记录当前已经登录的用户的信息。这个文件会随着用户的登录和注销而不断变化，只记录当前登录用户的信息，同样这个文件不能直接vi，要使用w，who，users等命令；

2. Linux系统上记录MYsql操作的审计日志

    根据笔者上一篇文章—Linux系统上记录用户操作的审计日志 。本文来利用相同的方法记录MYSQL操作的审计日志。

    使用用mysql工具连接MySQL server的所有操作会默认记录到~/.mysql_history文件中，这个文件会把所有操作记录下来，包括创建用户和修改用户的明文密码，这在生产系统上是不安全的。如果不想保存，仅仅删除是不行的（文件不存在会再建立），要直接将其软连接到垃圾箱。

     ln  -s  /dev/null  ~/.mysql_history

    利用上一篇文章相同的方法记录MYSQL操作的审计日志，是因为mysql工具本身就是有一个shell, 每次mysql连接退出后，都会把此次操作的信息记录到~/.mysql_history文件中。那么可以重新定义MYSQL_HISTFILE环境变量来保存mysql日志。

    先看置于/etc/profile.d目录下的环境变量的脚本mysql_history.sh，和loginlog类似。

      在测试时，发现平时使用的普通用户在操作mysql后无法记录，而root用户（平时没有操作过mysql）可以记录成功。后来在在~/.mysql_history文件找到了操作记录，估计是这个文件还存在的原因，删除后才记录到新的MYSQL_HISTFILE定义的路径。

      和loginlog一样，需要定期删除过期日志，以下脚本置于/etc/cron.weekly 目录下。

        delete_time=15

        find /opt/mysqllog/  -mtime +$delete_time -name '*.log' -exec rm -r {} \;

      但是相比于loginlog，mysqllog有两点暂时没有解决。

    1、定义最大的记录条数history.maxSize不知在哪定义，my.cnf?

    2、每一条命令的时间记录添加。

3. linux系统日志格式

1、系统常用的日志（日志是用来记录重大事件的工具）
/var/log/message 系统信息日志，包含错误信息等
/var/log/secure 系统登录日志
/var/log/cron 定时任务日志
/var/log/maillog 邮件日志
/var/log/boot.log 系统启动日志
2、日志管理服务 rsyslog 《Linux就该这么学》
【1】作用：主要用来采集日志，不产生日志
【2】配置文件：/etc/rsyslog.conf
编辑文件时的格式为： ------ *.* 存放日志文件 ------
其中第一个*代表日志类型，第二个*代表日志级别

4. log文件指什么Linux日志文件有哪些

在Linux操作系统中，log文件代表着日志文件，就是记录系统活动信息的文件，比如：某时、某IP、某时间、进行的某种操作等。此外，在Linux系统中，我们还可以通过tail、cat、tac、head等命令来查看日志，那么Linux系统中log文件是什么意思?本文为大家详细解答一下。

Linux系统中log文件是什么意思?

在Linux中，log文件是指日志文件，是重要的系统信息文件，其中记录了许多重要的系统事件，包括用户的登录信息、系统的启动信息、系统的安全信息、邮件相关信息、各种服务相关信息等。这些信息有些非常敏感，所以在Linux中这些日志文件只有root用户可以读取。

log文件存放在/var/log/目录下，该目录是系统日志文件的保存位置;除此之外，采用RPM包方式安装的系统服务也会默认把日志记录在/var/log/目录中。

Linux日志文件说明

①/var/log/messages：该文件记录着服务器系统发生的所有错误信息或重要的信息，所以这个文件相当重要，如果系统发生莫名的错误时，这个文件是必查的日志文件之一。

②/var/log/secure：该文件记录服务器牵扯到需要输入账号密码的软件，当登入时都会被记录到这个文件中，包括系统的login程序、图形界面登入所使用的gdm程序、su、sudo等程序，还有网络远程的ssh、telnet等程序，登入信息都会被记载。

③/var/log/maillog：该文件记录服务器邮件的来往信息，其实主要记录SMTP和POP3协议提供者所产生的信息。

④/var/log/cron：与定时任务相关的日志信息。

⑤/var/log/spooler：与UUCP和news设备相关的日志信息。

⑥/var/log/boot.log：守护进程启动和停止相关的日志信息。

⑦/var/log/wtmp：该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。

5. Linux里面如何查看系统用户登录日志

一、查看日志文件
Linux查看/var/log/wtmp文件查看可疑IP登陆

last -f /var/log/wtmp

该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，

增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录，

last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端tty或时间显示相应的记录。

查看/var/log/secure文件寻找可疑IP登陆次数

二、 脚本生成所有登录用户的操作历史
在linux系统的环境下，不管是root用户还是其它的用户只有登陆系统后用进入操作我们都可以通过命令history来查看历史记录，可是假如一台服务器多人登陆，一天因为某人误操作了删除了重要的数据。这时候通过查看历史记录（命令：history）是没有什么意义了（因为history只针对登录用户下执行有效，即使root用户也无法得到其它用户histotry历史）。那有没有什么办法实现通过记录登陆后的IP地址和某用户名所操作的历史记录呢？答案：有的。

通过在/etc/profile里面加入以下代码就可以实现：

PS1="`whoami`@`hostname`:"'[$PWD]'
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
USER_IP=`hostname`
fi
if [ ! -d /tmp/dbasky ]
then
mkdir /tmp/dbasky
chmod 777 /tmp/dbasky
fi
if [ ! -d /tmp/dbasky/${LOGNAME} ]
then
mkdir /tmp/dbasky/${LOGNAME}
chmod 300 /tmp/dbasky/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/dbasky/${LOGNAME}/${USER_IP}-dbasky.$DT"
chmod 600 /tmp/dbasky/${LOGNAME}/*dbasky* 2>/dev/null

source /etc/profile 使用脚本生效

退出用户，重新登录

?面脚本在系统的/tmp新建个dbasky目录，记录所有登陆过系统的用户和IP地址（文件名），每当用户登录/退出会创建相应的文件，该文件保存这段用户登录时期内操作历史，可以用这个方法来监测系统的安全性。

root@zsc6:[/tmp/dbasky/root]ls
10.1.80.47 dbasky.2013-10-24_12:53:08
root@zsc6:[/tmp/dbasky/root]cat 10.1.80.47 dbasky.2013-10-24_12:53:08

6. linux如何查看日志

linux如何查看日志？我们一起来了解一下吧。
1、打开linux系统，在linux的桌面的空白处右击。

2、在弹出的下拉选项里，点击打开终端。

3、使用catfilename命令，并回车运行即可显示全部日志内容。
本文章基于ThinkpadE15品牌、centos7系统撰写的。

7. linux中日志文件存在哪里

日志文件通常保存在/var/log目录下。

下面是几个重要的日志文件：

/var/log/messages：包括整体系统信息，其中也包含系统启动期间的日志。

/var/log/syslog：它和/etc/log/messages日志文件不同，它只记录警告信息，常常是系统出问题的信息。

/var/log/user.log：记录所有等级用户信息的日志。/var/log/auth.log：包含系统授权信息，包括用户登录和使用的权限机制等。

(7)linux记录日志扩展阅读：

日志文件分为事件日志和消息日志。

事件日志

事件日志记录在系统的执行中发生的事件，以便提供可用于理解系统的活动和诊断问题的跟踪。 它们对理解复杂系统的活动至关重要，特别是在用户交互较少的应用程序中。

它还可以用于组合来自多个源的日志文件条目。 这种方法与统计分析相结合，可以产生不同服务器上看起来不相关的事件之间的相关性。 其他解决方案采用网络范围的查询和报告。

消息日志

互联网中继聊天（IRC），即时消息（IM）程序，具有聊天功能的对等文件共享客户端和多人游戏（特别是MMORPG）通常具有自动记录（即保存）文本通信的能力。

消息日志几乎是通用的纯文本文件，但是IM和VoIP客户端（其支持文本聊天，例如Skype）可以将它们保存在HTML文件中或以自定义格式以便于阅读和加密。

参考资料：网络——日志文件

8. Linux系统日志分为哪几种类型

在Linux系统中，拥有非常灵活和强大的日志功能，它几乎可以保存所有的操作记录，还可以检索出我们需要的信息;不仅如此，Linux系统日志还可以帮助我们解决各种各样的问题。那么Linux系统日志分为哪几种类型?

Linux系统日志的三种类型

第一种：内核及系统日志

这种日志数据由系统服务rsyslog统一管理，根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中有相当一部分程序会把日志文件交由rsyslog管理，因而这些程序使用的日志记录也具有相似的格式。

第二种：用户日志

这种日志数据用于记录Linux操作系统用户登录以及退出系统的相关信息，包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。

第三种：程序日志

有些应用程序会选择由自己独立管理一份日志文件，用于记录本程序运行过程中的各种事件信息，而不是交给rsyslog服务管理。由于这些程序只负责管理自己的日志文件，因此不同程序所使用的日志记录格式可能会存在较大的差异。

9. Linux查看系统日志的一些常用命令

last

-a 把从何处登入系统的主机名称或ip地址，显示在最后一行。

-d 指定记录文件。指定记录文件。将IP地址转换成主机名称。

-f <记录文件> 指定记录文件。

-n <显示列数>或-<显示列数> 设置列出名单的显示列数。

-R 不显示登入系统的主机名称或IP地址。

-x 显示系统关机，重新开机，以及执行等级的改变等信息

以下看所有的重启、关机记录

last | grep reboot

last | grep shutdown

history

列出所有的历史记录：

[zzs@Linux] # history

只列出最近10条记录：

[zzs@linux] # history 10 (注,history和10中间有空格)

使用命令记录号码执行命令,执行历史清单中的第99条命令

[zzs@linux] #!99 (!和99中间没有空格)

重复执行上一个命令

[zzs@linux] #!!

执行最后一次以rpm开头的'命令(!? ?代表的是字符串,这个String可以随便输，Shell会从最后一条历史命令向前搜索，最先匹配的一条命令将会得到执行。)

[zzs@linux] #!rpm

逐屏列出所有的历史记录：

[zzs@linux]# history | more

立即清空history当前所有历史命令的记录

[zzs@linux] #history -c

cat, tail 和 watch

系统所有的日志都在 /var/log 下面自己看(具体用途可以自己查,附录列出一些常用的日志)

cat /var/log/syslog 等

cat /var/log/*.log

tail -f

如果日志在更新，如何实时查看 tail -f /var/log/messages

还可以使用 watch -d -n 1 cat /var/log/messages

-d表示高亮不同的地方，-n表示多少秒刷新一次。

该指令，不会直接返回命令行，而是实时打印日志文件中新增加的内容，

这一特性，对于查看日志是非常有效的。如果想终止输出，按 Ctrl+C 即可。

除此之外还有more, less ,dmesg|more,这里就不作一一列举了,因为命令太多了,关键看个人喜好和业务需求.个人常用的就是以上那些

linux日志文件说明

/var/log/message 系统启动后的信息和错误日志，是Red Hat Linux中最常用的日志之一

/var/log/secure 与安全相关的日志信息

/var/log/maillog 与邮件相关的日志信息

/var/log/cron 与定时任务相关的日志信息

/var/log/spooler 与UUCP和news设备相关的日志信息

/var/log/boot.log 守护进程启动和停止相关的日志消息

/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件