linux日志
linux日志大多是以明文存储,一般存储在/var/log目录中,linux系统中主要有三个日志子系统:连接时间日志,进程统计日志,错误日志。
连接时间日志
连接时间日志是有多个程序执行的,把日志记录到/var/log/wtmp /var/run/utmp /var/log/lastlog三个文件中,这三个文件记录了用户登录系统和退出的有关信息,utmp保存了当前用户的每个用户的信息,wtmp记录了每个用户登录注销和系统的启动,关机的事件,lastlog记录了每个用户最后登录的信息记录。
wtmp和utmp文件都是二进制,不能使用cat和tail命令查看,但是可以使用who w users last等命令查看着两个文件的信息
who [参数]
-a 显示全部信息
-m 只显示当前终端的登录用户信息
-q 只显示当前登录到系统中的用户名称和数量,和其他参数共同使用的时候,其他参数将被忽略
日志文件
多数日志文件存放在/var/log/目录下面,一下是各类日志文件和记录的内容
assess-log 记录和HTTP/web的传输
secure 记录登录系统存取资料的消息
btmp 记录失败的消息
lastlog 记录最近几次成功登录的事件和最后一次不成功的登录
messages 从syslog中记录信息(有的是连接到syslog文件)
sudolog 记录sudo发出的命令
sulog 记录使用su命令的使用
utmp 记录当前登录的每个用户
wtmp 一个用户每次登录进入和退出的的永久记录
syslog 通常连接到messages文件
xferlog 记录了FTP会话
linux中可以配置日志文件,需要修改日志文件syslog.conf的配置,通常是不用配置,除非特殊使用人群,还可以图形化查看分析日志,这里就不多介绍了
作者:司令