/var / log / cron:记录crond计划任务相关的时间信息;
一、内核及系统日志分析/var / log / messages:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、I/O错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以在该日志文件中获得相关信息。
/var /log /dmesg:记录Linux操作系统在引导过程中的各种事件信息;
/var / log / maillog:记录进入或发出系统的电子邮件活动;
/var / log /lastlog:记录每个用户最近的登陆事件;
/var / log / secure:记录用户认证相关的安全事件信息;
/var /log /wtmp:记录每个用户登录、注销及系统启动和停机事件;
/var /log /btmp:记录失败的、错误的登录尝试及验证事件;
内核及系统日志由系统服务 rsyslog统一管理,rsyslog服务所使用的配置文件位于:/ etc / rsyslog.conf,在Linux内核中,根据日志消息的重要程度不同,将其分为不同的优先级别:
①:EMERG(紧急):会导致主机系统不可用的情况;
②:ALERT (警告):必须马上采取措施解决的问题;
③:CRIT (严重):比较严重的情况;
④:WARNNING(提醒):可能影响系统功能,需要提醒用户的重要事件;
⑤:NOTICE(注意):不会影响正常功能,但是需要注意的时间;
⑥:INFO(信息) :一般信息;
⑦:DEBUG(调试):程序或系统调试信息等;
以上数字越小,表示优先级越高,消息越重要,一般会在日志信息的每行中间部分显示,一般显示为如:[ INFO ]
对于rsrlog服务统一管理的日志文件,使用的日志记录格式基本上相同,以/var/log/messages文件的记录为例,每一行表示一条日志消息,每条消息均包括以下四个字段:
时间标签:消息发出的日期和时间;
主机名:生成消息的计算机的名称;
子系统名称:发出消息的应用程序的名称;
消息:消息的具体内容;
二、用户日志用户日志大多数是记录用户登录的相关信息的,我们可以通过以下几条命令来了解用户的登录信息:
users、who 、w 命令,其中命令 “w”输出的信息最为详细
“ last ” 命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面;
“ lastb ”命令用于查询登录失败的用户记录;
三、程序日志在检查这些日志时,要注意是否有不合理的时间或操作记录。例如,出现以下现象就应多加注意:
①:用户在非常规的时间登录,或者用户登录系统的IP与以往不一样。
②:用户登录失败的日志记录,尤其是那些一再连续尝试进入失败的日志记录。
③:非法使用或不正当使用超级用户的权限。
④:无故或者非法重新启动各项网络服务的记录。
⑤:不正常的日志记录,如日志残缺不全,或者是wtmp这样的日志文件无故少了中间的记录文件。
原文地址:https://blog.51cto.com/14154700/2353246