Linux日志文件存放路径详解及常见文件分析
Linux里面日志放在哪个文件夹下?
大多数Linux发行版的默认日志程序是syslog,位于/etc/syslog或/etc/syslogd中。默认配置文件是/etc/syslog.conf。
任何想要创建日志的程序都可以将信息发送到系统日志。
Fedora、Ubuntu、rhel6、centos6及以上版本的默认日志系统是rsyslog,它是syslog的增强多线程版本。
如果你正在学习Linux,请参考《你应该这样学习Linux》
Linux的日志文件放在哪个目录下_linux日志文件存放目录
下面详细介绍常见的RedHatLinux日志文件。
◆/var/log/boot.log
该文件记录系统启动过程中发生的事件。
这是Linux系统开机自检过程中显示的信息。
◆/var/log/cron
该日志文件记录从crontabcrond守护进程派生的子进程的活动,前面是用户名、登录时间和PID,以及输出过程动作。
单个CMD操作是cron启动预定进程的典型情况。
REPLACE操作将用户更新写入其cron文件,该文件列出了需要定期运行的计划任务。
RELOAD操作在REPLACE操作之后不久发生。
这意味着cron注意到用户的cron文件已更新,并且cron需要将其重新加载到内存中。
该文件可能会检测到一些异常情况。
◆/var/log/maillog
此日志文件记录发送到系统或从系统发送的每封电子邮件的活动。
它可用于查看用户正在使用哪个系统提交工具或他们将数据发送到哪个系统。
文件格式如下:每行包含一个日期、一个主机名、一个程序名,后跟包含PID或内核标识符的方括号、一个冒号和一个空格,最后是一条消息。
该文件的缺点之一是记录的入侵尝试和成功的入侵事件在大量正常进程记录中丢失。
但可以使用/etc/syslog文件配置该文件。
配置文件/etc/syslog.conf决定系统如何写入/var/messages。
稍后将详细讨论如何配置/etc/syslog.conf文件来定义syslog行为。
◆/var/log/syslog
RedHatLinux默认不生成这个日志文件,但是你可以配置/etc/syslog.conf让系统生成这个日志文件。
。
它与日志文件/etc/log/messages不同。
它只记录警告信息,这些信息往往是有关系统问题的信息,所以你应该多留意这个文件。
要允许系统创建此日志文件,请将:*.warning/var/log/syslog添加到/etc/syslog.conf文件中。
该日志文件可能会记录用户登录时记录的错误密码、Sendmail、su的问题。
命令执行失败等信息。
此日志文件记录上次成功登录事件和上次失败登录事件,并在您登录时创建。
每次用户登录时都会请求它。
该文件是二进制文件,必须使用Lastlog命令查看。
按UID排序显示登录名、端口号和上次登录时间。
如果用户从未登录过,他们将显示为“**Neverloggedin**”。
该命令只能以root权限执行。
切勿使用bin、daemon、adm、uucp、mail等帐户登录。
如果您发现这些帐户已经登录,则意味着系统可能已被黑客入侵。
如果发现记录的时间与用户上次登录的时间不符,则说明该用户的账户已被泄露。
◆/var/log/wtmp
该日志文件持续记录每个用户的登录和注销,以及系统的启动和关闭。
因此,随着系统正常运行时间的增加,这个文件的大小将会增加,增加的速度取决于用户登录的数量。
该日志文件可用于查看用户的登录记录。
最后的命令通过访问此文件来检索此信息,并从头开始以相反的顺序显示用户的登录记录。
最后一条命令还可以根据用户和终端显示相关信息。
电传打字机或时间。
last命令有两个可选参数:
last-uusername显示用户上次登录的时间。
last-t天数显示指定天数内用户的登录状态。
◆/var/run/utmp
该日志文件记录了此时登录的每个用户的信息。
片刻。
所以这个文件会随着用户登录和退出而不断改变。
它只存储当前在线用户的记录,不存储用户的持久记录。
系统上需要查询用户当前状态的程序,如who、w、users、finger等,必须有权访问该文件。
该日志文件并不包含所有准确的信息,因为一些突然的错误会导致用户的登录会话终止,并且系统不会按时更新utmp条目,因此该日志文件中的条目不是100%可信的。
上面提到的三个文件(/var/log/wtmp、/var/run/utmp、/var/log/lastlog)是日志子系统的关键文件,记录了用户的登录状态这些文件中的所有条目都包含时间戳。
这些文件以二进制格式保存,因此您无法使用less和cat等命令直接查看这些文件,而是需要使用相应的命令通过这些文件来查看。
utmp和wtmp文件的数据结构是相同的,而最后一个日志文件使用不同的数据结构,您可以使用man命令来查询它们的具体数据结构,每次用户登录时,登录程序都会检查。
Lastlog文件中用户的UID如果存在,则将用户的上次登录、注销时间和主机名写入标准输出,然后登录程序将新的登录时间写入上次日志,打开utmp文件,插入用户的utmp条目。
该条目将一直使用,直到用户注销并被删除。
utmp文件由各种命令使用,包括who、w、users和Finger。
接下来,登录程序打开wtmp文件并添加用户的utmp条目。
当用户注销时,具有更新时间戳的相同utmp条目将附加到文件中。
wtmp文件最后被程序使用。
◆/var/log/xferlog
该日志文件记录FTP会话并可以显示用户复制了哪些文件往返于FTP服务器。
该文件将显示用户复制到服务器以渗透服务器的恶意软件,以及用户复制供其使用的文件。
文件格式:第一个字段-日期和时间,第二个字段-下载文件所需的秒数、远程系统名称、文件大小、本地路径、传输类型(a:ASCII,b:二进制)、压缩标志或tar或“_”(如果没有压缩)、传输方向(相对于服务器:i表示输入,o表示输出)、访问模式(a:匿名、g:密码输入、r:真实用户)、用户名,服务名称(通常ftp),身份验证。
method(l:RFC931或0),认证用户ID或“*”。
RedHatLinux默认情况下不写入此日志文件。
要启用此日志文件,必须将以下行添加到/etc/syslog.conf文件中:kern.*/var/log/kernlog。
这允许将所有内核消息写入/var/log/kernlog。
该文件记录系统启动时设备的加载或使用情况。
一般来说,这是正常操作,但如果记录了未经授权的用户执行的这些操作,请注意,这可能是恶意用户行为。
该日志文件记录X-Window的启动情况。
另外,除了/var/log/之外,攻击者还可以在其他地方留下痕迹。
您应该注意以下地方:rootshell和其他用户帐户的历史文件,例如.sent、mbox;,以及存储在/var/spool/mail/和/var/spool/mqueue中的邮箱、临时文件/tmp、/usr/tmp、/var/tmp、其他攻击者创建的文件;具有以“.”开头的隐藏属性等等
