Centos下重要日志文件及查看方式

時間:2013-07-28 12:10來源:中國IT實驗室?作者:感謝：“匿名”投稿?舉報?點擊:6525次 id="iframeu2000246_0" src="http://pos.baidu.com/ackm?sz=695x250&rdid=2000246&dc=2&di=u2000246&dri=0&dis=0&dai=2&ps=413x320&coa=at%3D3%26rsi0%3D695%26rsi1%3D250%26pat%3D6%26tn%3DbaiduCustNativeAD%26rss1%3D%2523FFFFFF%26conBW%3D1%26adp%3D1%26ptt%3D0%26titFF%3D%2525E5%2525BE%2525AE%2525E8%2525BD%2525AF%2525E9%25259B%252585%2525E9%2525BB%252591%26titFS%3D14%26rss2%3D%2523000000%26titSU%3D0%26ptbg%3D90%26piw%3D0%26pih%3D0%26ptp%3D0&dcb=BAIDU_SSP_define&dtm=BAIDU_DUP_SETJSONADSLOT&dvi=0.0&dci=-1&dpt=none&tsr=0&tpr=1462267345503&ti=Centos%E4%B8%8B%E9%87%8D%E8%A6%81%E6%97%A5%E5%BF%97%E6%96%87%E4%BB%B6%E5%8F%8A%E6%9F%A5%E7%9C%8B%E6%96%B9%E5%BC%8F&ari=1&dbv=2&drs=1&pcs=1569x992&pss=1569x433&cfv=18&cpl=39&chi=1&cce=true&cec=GBK&tlm=1458906177&ltu=http%3A%2F%2Fwww.centoscn.com%2FCentOS%2FIntermediate%2F2013%2F0728%2F685.html&ltr=https%3A%2F%2Fwww.baidu.com%2Flink%3Furl%3DvI2I5G6v7-A5NmQFPjdcdMuasJuwvLVLmvhtvblhUGxQDC-y6HcKLkJDbBKWYQs1_TMHML-_4ECR5u6t0Gt0wUf5REoyq6tIBnhjMTFBKly%26wd%3D%26eqid%3De899164b0008a0bf0000000357286dd1&ecd=1&psr=1600x1200&par=1600x1160&pis=-1x-1&ccd=24&cja=true&cmi=102&col=zh-CN&cdo=-1&tcn=1462267346&qn=c65f426d87ce0b2b&tt=1462267345212.462.701.703" width="695" height="250" align="center,center" vspace="0" hspace="0" marginwidth="0" marginheight="0" scrolling="no" frameborder="0" allowtransparency="true" style="padding: 0px; margin: 0px; border-width: 0px; vertical-align: bottom;">

1、Linux下重要日志文件介紹

　　/var/log/boot.log

　　該文件記錄了系統在引導過程中發生的事件，就是Linux系統開機自檢過程顯示的信息，如圖1所示：

　　圖1 /var/log/boot.log示意

　　/var/log/cron

　　該日志文件記錄crontab守護進程crond所派生的子進程的動作，前面加上用戶、登錄時間和PID，以及派生出的進程的動作。CMD的一個動作是cron派生出一個調度進程的常見情況。REPLACE(替換)動作記錄用戶對它的cron文件的更新，該文件列出了要周期性執行的任務調度。RELOAD動作在REPLACE動作后不久發生，這意味著cron注意到一個用戶的cron文件被更新而cron需要把它重新裝入內存。該文件可能會查到一些反常的情況。該文件的示意請見圖2：

　　圖2 /var/log/cron文件示意

　　/var/log/maillog

　　該日志文件記錄了每一個發送到系統或從系統發出的電子郵件的活動。它可以用來查看用戶使用哪個系統發送工具或把數據發送到哪個系統。圖3所示是該日志文件的片段：

　　圖3 /var/log/maillog文件示意

　　該文件的格式是每一行包含日期、主機名、程序名，后面是包含PID或內核標識的方括號、一個冒號和一個空格，最后是消息。該文件有一個不足，就是被記錄的入侵企圖和成功的入侵事件，被淹沒在大量的正常進程的記錄中。但該文件可以由/etc/syslog文件進行定制。由/etc/syslog.conf配置文件決定系統如何寫入/var/messages。

　　/var/log/syslog

　　默認Fedora不生成該日志文件，但可以配置/etc/syslog.conf讓系統生成該日志文件。它和/etc/log/messages日志文件不同，它只記錄警告信息，常常是系統出問題的信息，所以更應該關注該文件。要讓系統生成該日志文件，在/etc/syslog.conf文件中加上：*.warning /var/log/syslog 該日志文件能記錄當用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等信息。該日志文件記錄最近成功登錄的事件和最后一次不成功的登錄事件，由login生成。在每次用戶登錄時被查詢，該文件是二進制文件，需要使用lastlog命令查看，根據UID排序顯示登錄名、端口號和上次登錄時間。如果某用戶從來沒有登錄過，就顯示為"**Never logged in**"。該命令只能以root權限執行。簡單地輸入lastlog命令后就會看到類似圖4的信息：

　　圖4 lastlog命令的運行結果

　　/var/log/wtmp

　　該日志文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常運行時間的增加，該文件的大小也會越來越大，增加的速度取決于系統用戶登錄的次數。該日志文件可以用來查看用戶的登錄記錄，last命令就通過訪問這個文件獲得這些信息，并以反序從后向前顯示用戶的登錄記錄，last也能根據用戶、終端tty或時間顯示相應的記錄。

　　/var/run/utmp

　　該日志文件記錄有關當前登錄的每個用戶的信息。因此這個文件會隨著用戶登錄和注銷系統而不斷變化，它只保留當時聯機的用戶記錄，不會為用戶保留永久的記錄。系統中需要查詢當前用戶狀態的程序，如 who、w、users、finger等就需要訪問這個文件。該日志文件并不能包括所有精確的信息，因為某些突發錯誤會終止用戶登錄會話，而系統沒有及時更新 utmp記錄，因此該日志文件的記錄不是百分之百值得信賴的。

　　以上提及的3個文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日志子系統的關鍵文件，都記錄了用戶登錄的情況。這些文件的所有記錄都包含了時間戳。這些文件是按二進制保存的，故不能用less、cat之類的命令直接查看這些文件，而是需要使用相關命令通過這些文件而查看。其中，utmp和wtmp文件的數據結構是一樣的，而lastlog文件則使用另外的數據結構，關于它們的具體的數據結構可以使用man命令查詢。

　　每次有一個用戶登錄時，login程序在文件lastlog中查看用戶的UID。如果存在，則把用戶上次登錄、注銷時間和主機名寫到標準輸出中，然后login程序在lastlog中記錄新的登錄時間，打開utmp文件并插入用戶的utmp記錄。該記錄一直用到用戶登錄退出時刪除。utmp文件被各種命令使用，包括who、w、users和finger。

　　下一步，login程序打開文件wtmp附加用戶的utmp記錄。當用戶登錄退出時，具有更新時間戳的同一utmp記錄附加到文件中。wtmp文件被程序last使用。

　　/var/log/xferlog

　　該日志文件記錄FTP會話，可以顯示出用戶向FTP服務器或從服務器拷貝了什么文件。該文件會顯示用戶拷貝到服務器上的用來入侵服務器的惡意程序，以及該用戶拷貝了哪些文件供他使用。

　　該文件的格式為：第一個域是日期和時間，第二個域是下載文件所花費的秒數、遠程系統名稱、文件大小、本地路徑名、傳輸類型(a：ASCII，b：二進制)、與壓縮相關的標志或tar，或"_"(如果沒有壓縮的話)、傳輸方向(相對于服務器而言：i代表進，o代表出)、訪問模式(a：匿名，g：輸入口令，r：真實用戶)、用戶名、服務名(通常是ftp)、認證方法(l：RFC931，或0)，認證用戶的ID或"*"。圖5是該文件的部分顯示：

　　圖5 /var/log/xferlog文件示意

總結

以上是生活随笔為你收集整理的Centos下重要日志文件及查看方式的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。