Centos下重要日志文件及查看方式

時(shí)間:2013-07-28 12:10來源:中國IT實(shí)驗(yàn)室?作者:感謝：“匿名”投稿?舉報(bào)?點(diǎn)擊:6525次 id="iframeu2000246_0" src="http://pos.baidu.com/ackm?sz=695x250&rdid=2000246&dc=2&di=u2000246&dri=0&dis=0&dai=2&ps=413x320&coa=at%3D3%26rsi0%3D695%26rsi1%3D250%26pat%3D6%26tn%3DbaiduCustNativeAD%26rss1%3D%2523FFFFFF%26conBW%3D1%26adp%3D1%26ptt%3D0%26titFF%3D%2525E5%2525BE%2525AE%2525E8%2525BD%2525AF%2525E9%25259B%252585%2525E9%2525BB%252591%26titFS%3D14%26rss2%3D%2523000000%26titSU%3D0%26ptbg%3D90%26piw%3D0%26pih%3D0%26ptp%3D0&dcb=BAIDU_SSP_define&dtm=BAIDU_DUP_SETJSONADSLOT&dvi=0.0&dci=-1&dpt=none&tsr=0&tpr=1462267345503&ti=Centos%E4%B8%8B%E9%87%8D%E8%A6%81%E6%97%A5%E5%BF%97%E6%96%87%E4%BB%B6%E5%8F%8A%E6%9F%A5%E7%9C%8B%E6%96%B9%E5%BC%8F&ari=1&dbv=2&drs=1&pcs=1569x992&pss=1569x433&cfv=18&cpl=39&chi=1&cce=true&cec=GBK&tlm=1458906177&ltu=http%3A%2F%2Fwww.centoscn.com%2FCentOS%2FIntermediate%2F2013%2F0728%2F685.html&ltr=https%3A%2F%2Fwww.baidu.com%2Flink%3Furl%3DvI2I5G6v7-A5NmQFPjdcdMuasJuwvLVLmvhtvblhUGxQDC-y6HcKLkJDbBKWYQs1_TMHML-_4ECR5u6t0Gt0wUf5REoyq6tIBnhjMTFBKly%26wd%3D%26eqid%3De899164b0008a0bf0000000357286dd1&ecd=1&psr=1600x1200&par=1600x1160&pis=-1x-1&ccd=24&cja=true&cmi=102&col=zh-CN&cdo=-1&tcn=1462267346&qn=c65f426d87ce0b2b&tt=1462267345212.462.701.703" width="695" height="250" align="center,center" vspace="0" hspace="0" marginwidth="0" marginheight="0" scrolling="no" frameborder="0" allowtransparency="true" style="padding: 0px; margin: 0px; border-width: 0px; vertical-align: bottom;">

1、Linux下重要日志文件介紹

　　/var/log/boot.log

　　該文件記錄了系統(tǒng)在引導(dǎo)過程中發(fā)生的事件，就是Linux系統(tǒng)開機(jī)自檢過程顯示的信息，如圖1所示：

　　圖1 /var/log/boot.log示意

　　/var/log/cron

　　該日志文件記錄crontab守護(hù)進(jìn)程crond所派生的子進(jìn)程的動(dòng)作，前面加上用戶、登錄時(shí)間和PID，以及派生出的進(jìn)程的動(dòng)作。CMD的一個(gè)動(dòng)作是cron派生出一個(gè)調(diào)度進(jìn)程的常見情況。REPLACE(替換)動(dòng)作記錄用戶對(duì)它的cron文件的更新，該文件列出了要周期性執(zhí)行的任務(wù)調(diào)度。RELOAD動(dòng)作在REPLACE動(dòng)作后不久發(fā)生，這意味著cron注意到一個(gè)用戶的cron文件被更新而cron需要把它重新裝入內(nèi)存。該文件可能會(huì)查到一些反常的情況。該文件的示意請(qǐng)見圖2：

　　圖2 /var/log/cron文件示意

　　/var/log/maillog

　　該日志文件記錄了每一個(gè)發(fā)送到系統(tǒng)或從系統(tǒng)發(fā)出的電子郵件的活動(dòng)。它可以用來查看用戶使用哪個(gè)系統(tǒng)發(fā)送工具或把數(shù)據(jù)發(fā)送到哪個(gè)系統(tǒng)。圖3所示是該日志文件的片段：

　　圖3 /var/log/maillog文件示意

　　該文件的格式是每一行包含日期、主機(jī)名、程序名，后面是包含PID或內(nèi)核標(biāo)識(shí)的方括號(hào)、一個(gè)冒號(hào)和一個(gè)空格，最后是消息。該文件有一個(gè)不足，就是被記錄的入侵企圖和成功的入侵事件，被淹沒在大量的正常進(jìn)程的記錄中。但該文件可以由/etc/syslog文件進(jìn)行定制。由/etc/syslog.conf配置文件決定系統(tǒng)如何寫入/var/messages。

　　/var/log/syslog

　　默認(rèn)Fedora不生成該日志文件，但可以配置/etc/syslog.conf讓系統(tǒng)生成該日志文件。它和/etc/log/messages日志文件不同，它只記錄警告信息，常常是系統(tǒng)出問題的信息，所以更應(yīng)該關(guān)注該文件。要讓系統(tǒng)生成該日志文件，在/etc/syslog.conf文件中加上：*.warning /var/log/syslog 該日志文件能記錄當(dāng)用戶登錄時(shí)login記錄下的錯(cuò)誤口令、Sendmail的問題、su命令執(zhí)行失敗等信息。該日志文件記錄最近成功登錄的事件和最后一次不成功的登錄事件，由login生成。在每次用戶登錄時(shí)被查詢，該文件是二進(jìn)制文件，需要使用lastlog命令查看，根據(jù)UID排序顯示登錄名、端口號(hào)和上次登錄時(shí)間。如果某用戶從來沒有登錄過，就顯示為"**Never logged in**"。該命令只能以root權(quán)限執(zhí)行。簡單地輸入lastlog命令后就會(huì)看到類似圖4的信息：

　　圖4 lastlog命令的運(yùn)行結(jié)果

　　/var/log/wtmp

　　該日志文件永久記錄每個(gè)用戶登錄、注銷及系統(tǒng)的啟動(dòng)、停機(jī)的事件。因此隨著系統(tǒng)正常運(yùn)行時(shí)間的增加，該文件的大小也會(huì)越來越大，增加的速度取決于系統(tǒng)用戶登錄的次數(shù)。該日志文件可以用來查看用戶的登錄記錄，last命令就通過訪問這個(gè)文件獲得這些信息，并以反序從后向前顯示用戶的登錄記錄，last也能根據(jù)用戶、終端tty或時(shí)間顯示相應(yīng)的記錄。

　　/var/run/utmp

　　該日志文件記錄有關(guān)當(dāng)前登錄的每個(gè)用戶的信息。因此這個(gè)文件會(huì)隨著用戶登錄和注銷系統(tǒng)而不斷變化，它只保留當(dāng)時(shí)聯(lián)機(jī)的用戶記錄，不會(huì)為用戶保留永久的記錄。系統(tǒng)中需要查詢當(dāng)前用戶狀態(tài)的程序，如 who、w、users、finger等就需要訪問這個(gè)文件。該日志文件并不能包括所有精確的信息，因?yàn)槟承┩话l(fā)錯(cuò)誤會(huì)終止用戶登錄會(huì)話，而系統(tǒng)沒有及時(shí)更新 utmp記錄，因此該日志文件的記錄不是百分之百值得信賴的。

　　以上提及的3個(gè)文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日志子系統(tǒng)的關(guān)鍵文件，都記錄了用戶登錄的情況。這些文件的所有記錄都包含了時(shí)間戳。這些文件是按二進(jìn)制保存的，故不能用less、cat之類的命令直接查看這些文件，而是需要使用相關(guān)命令通過這些文件而查看。其中，utmp和wtmp文件的數(shù)據(jù)結(jié)構(gòu)是一樣的，而lastlog文件則使用另外的數(shù)據(jù)結(jié)構(gòu)，關(guān)于它們的具體的數(shù)據(jù)結(jié)構(gòu)可以使用man命令查詢。

　　每次有一個(gè)用戶登錄時(shí)，login程序在文件lastlog中查看用戶的UID。如果存在，則把用戶上次登錄、注銷時(shí)間和主機(jī)名寫到標(biāo)準(zhǔn)輸出中，然后login程序在lastlog中記錄新的登錄時(shí)間，打開utmp文件并插入用戶的utmp記錄。該記錄一直用到用戶登錄退出時(shí)刪除。utmp文件被各種命令使用，包括who、w、users和finger。

　　下一步，login程序打開文件wtmp附加用戶的utmp記錄。當(dāng)用戶登錄退出時(shí)，具有更新時(shí)間戳的同一utmp記錄附加到文件中。wtmp文件被程序last使用。

　　/var/log/xferlog

　　該日志文件記錄FTP會(huì)話，可以顯示出用戶向FTP服務(wù)器或從服務(wù)器拷貝了什么文件。該文件會(huì)顯示用戶拷貝到服務(wù)器上的用來入侵服務(wù)器的惡意程序，以及該用戶拷貝了哪些文件供他使用。

　　該文件的格式為：第一個(gè)域是日期和時(shí)間，第二個(gè)域是下載文件所花費(fèi)的秒數(shù)、遠(yuǎn)程系統(tǒng)名稱、文件大小、本地路徑名、傳輸類型(a：ASCII，b：二進(jìn)制)、與壓縮相關(guān)的標(biāo)志或tar，或"_"(如果沒有壓縮的話)、傳輸方向(相對(duì)于服務(wù)器而言：i代表進(jìn)，o代表出)、訪問模式(a：匿名，g：輸入口令，r：真實(shí)用戶)、用戶名、服務(wù)名(通常是ftp)、認(rèn)證方法(l：RFC931，或0)，認(rèn)證用戶的ID或"*"。圖5是該文件的部分顯示：

　　圖5 /var/log/xferlog文件示意

總結(jié)

以上是生活随笔為你收集整理的Centos下重要日志文件及查看方式的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。