linux系统中的日志大多都在/var/log文件夹中,其中主要日志如下:
PS:请着重查看lastlog、 btmp 文件内容,并定时查看此文件内容进行检测
文件(/var/log/) | 描述 |
messages | 包括整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中 |
dmesg | 包含内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们 |
auth.log | 包含系统授权信息,包括用户登录和使用的权限机制等 |
boot.log | 包含系统启动时的日志 |
daemon.log | 包含各种系统后台守护进程日志信息 |
dpkg.log | 包括安装或dpkg命令清除软件包的日志 |
kern.log | 包含内核产生的日志,有助于在定制内核时解决问题 |
lastlog | 记录所有用户的最近信息。这不是一个ASCII文件,因此需要用lastlog命令查看内容 |
maillog | 包含来自系统运行电子邮件服务器的日志信息 |
mail.log | -同上- |
user.log | 记录所有等级用户信息的日志 |
Xorg.x.log | 来自X的日志信息 |
alternatives.log | 更新替代信息都记录在这个文件中 |
btmp | 记录所有失败登录信息。使用last命令可以查看btmp文件。例如:last -f /var/log/btmp |
cups | 涉及所有打印信息的日志 |
anaconda.log | 在安装Linux时,所有安装信息都储存在这个文件中 |
yum.log | 包含使用yum安装的软件包信息 |
dpkg.log | 包含使用apt安装的软件包信息 |
cron | 每当cron进程开始一个工作时,就会将相关信息记录在这个文件中 |
secure | 包含验证和授权方面信息。例如,sshd会将所有信息记录(其中包括失败登录) |
wtmp | 包含登录信息。使用wtmp可以找出谁正在登陆进入系统,谁使用命令显示这个文件或信息等 |
utmp | -同上- |
faillog | 包含用户登录失败信息。此外,错误登录命令也会记录在本文件中 |
httpd/ | 包含服务器access_log和error_log信息 |
apache2/ | -同上- |
lighttpd/ | 包含light HTTPD的access_log和error_log |
mail/ | 这个子目录包含邮件服务器的额外日志 |
prelink/ | 包含.so文件被prelink修改的信息 |
audit/ | 包含被 Linux audit daemon储存的信息 |
samba/ | 包含由samba存储的信息 |
sa/ | 包含每日由sysstat软件包收集的sar文件 |
sssd/ | 用于守护进程安全服务 |
本文暂时没有评论,来添加一个吧(●'◡'●)