详解 Linux 系统日志分析
学会查看日志文件是一件很有意义的事,因为在Linux系统中运行的程序通常会把一些系统消息和错误消息写入对应的日志中,若是一旦出现问题,我们就可以通过查看日志来迅速定位,及时解决故障。
1、日志的三种类型
内核及系统日志:
这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中有相当一部分程序会把自己的日志文件交由rsyslog管理,因而这些程序使用的日志记录也具有相似的格式。用户日志:
这种日志数据用于记录Linux操作系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。程序日志:
有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件信息。由于这些程序只负责管理自己的日志文件,因此不同程序所使用的日志记录格式可能会存在较大的差异。
2、常见的日志文件
路径 | 说明 |
---|---|
/var/log/messages | 记录 Linux 内核消息及各种应用程序的公共日志信息 |
/var/log/cron | 记录 crond 计划任务产生的事件信息 |
/var/log/dmesg | 记录 Linux 操作系统在引导过程中的各种事件信息 |
/var/log/maillog | 记录进入或发出系统的电子邮件活动 |
/var/log/lastlog | 记录每个用户最近的登录事件 |
/var/log/secure | 记录用户认证相关的安全事件信息 |
/var/log/wtmp | 记录每个用户登录、注销及系统启动和停机事件 |
/var/log/btmp | 记录失败的、错误的登录尝试及验证事件 |
3、日志的优先级别
数字等级越小,优先级越高,消息越重要。
- 级别
- 英文单词
- 中文释义
说明
- 0 EMERG 紧急 会导致主机系统不可用的情况
- 1 ALERT 警告 必须马上采取措施解决的问题
- 2 CRIT 严重 比较严重的情况
- 3 ERR 错误 运行出现错误
- 4 WARNING 提醒 可能影响系统功能,需要提醒用户的重要事件
- 5 NOTICE 注意 不会影响正常功能,但是需要注意的事件
- 6 INFO 信息 一般信息
- 7 DEBUG 调试 程序或系统调试信息等
4、用户日志相关命令
users
- users命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。
viatorsun@ubuntu:~$ users
viatorsun
who
- who命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who的默认输出包括用户名、终端类型、登录日期及远程主机。
viatorsun@ubuntu:~$ who
viatorsun :0 2019-09-10 16:36 (:0)
w
- w 命令用于显示当前系统中的每个用户及其所运行的进程信息,比users、who命令的输出内容要丰富一些。
viatorsun@ubuntu:~$ w16:38:51 up 3 min, 1 user, load average: 0.25, 0.49, 0.23
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
viatorsu :0 :0 01:36 ?xdm? 31.07s 0.01s /usr/lib/gdm3/
last
- last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last命令可以及时掌握Linux主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵。
viatorsun@ubuntu:~$ last
viatorsu :0 :0 Tue Sep 10 16:36 still logged in
reboot system boot 5.0.0-27-generic Tue Sep 10 10:35 still running
viatorsu :0 :0 Mon Sep 9 19:55 - crash (05:39)
reboot system boot 5.0.0-27-generic Mon Sep 9 19:53 still running
viatorsu :0 :0 Fri Sep 6 02:00 - down (01:02)
reboot system boot 5.0.0-21-generic Fri Sep 6 01:59 - 03:02 (01:02)
viatorsu :0 :0 Tue Jun 11 23:59 - crash (48+02:34)
reboot system boot 5.0.0-13-generic Tue Jun 11 23:58 - 02:46 (48+02:47)wtmp begins Mon Apr 22 05:43:39 2019
lastb
- lastb命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。
root@ubuntu:/# lastb
root pts/0 Tue Sep 10 01:41 - 01:41 (00:00)
root pts/0 Mon Sep 9 22:57 - 22:57 (00:00)btmp begins Mon Sep 9 22:55:59 2019
详解 Linux 系统日志分析相关推荐
- window计算机日志分析详解,windows系统日志分析
一.Windows日志文件的保护 日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些"不法之徒"将日志文件清洗一空的情况. 1. 修改日志文件存放目录 Windows日志 ...
- vmstat命令详解——linux性能分析
版本信息: procps version 3.2.8 基本使用: vmstat [-a] [-n] [-t] [-S unit] [delay [ count]] [-a]:显示活跃和非活跃内存 [- ...
- 详解Linux运维工程师打怪升级篇
详解 Linux 运维工程师打怪升级篇 积累经验篇 做运维也快4年多了,就像游戏打怪升级,升级后知识体系和运维体系也相对变化挺大,学习了很多新的知识点. 运维工程师 是从一个呆逼进化为苦逼再成长为牛逼 ...
- linux中which命令详解,Linux下which命令使用详解(转)
我们经常在linux要查找某个文件,但不知道放在哪里了,可以使用下面的一些命令来搜索: which 查看可执行文件的位置. whereis 查看文件的位置. locate 配合数据库查看文件位置. f ...
- 详解Linux内核之双向循环链表 By邪恶八进制
[转载]详解Linux内核之双向循环链表 详解Linux内核之双向循环链表 信息来源:邪恶八进制信息安全团队(www.eviloctal.com) 摘要: 本文详解了内核中面向对象的list ...
- linux下测试ftp传输,linux下ftp命令使用详解---linux文件传输ftp命令
linux下ftp命令使用详解---linux文件传输ftp命令 上一篇 / 下一篇 2010-12-18 09:15:35 / 个人分类:Linux ftp(file transfer proto ...
- linux用户密码管理,Linux_详解Linux中的用户密码管理命令passwd和change,passwd
修改用户密码参数
nbsp - phpStudy...
详解Linux中的用户密码管理命令passwd和change passwd 修改用户密码 参数 -k 保持未过期身份验证令牌 -l 关闭账号密码.效果相当于usermod -L,只有root才有权使用 ...
- linux怎么授权目录,详解Linux如何将一个文件夹的所有内容授权给某一个用户?...
详解Linux如何将一个文件夹的所有内容授权给某一个用户? 发布时间:2020-09-14 15:23:51 来源:脚本之家 阅读:138 作者:冰阔落 栏目:服务器 [问题分析] 我们可以使用cho ...
- linux中jstack命令详解,Linux jstack命令详解
jstack用于打印出给定的java进程ID或core file或远程调试服务的Java堆栈信息. 如果是在64位机器上,需要指定选项"-J-d64",Windows的jstack ...
最新文章
- Android -- 带你从源码角度领悟Dagger2入门到放弃(三)
- 玩转虚拟化VMWare之一: VMWare ESXi 5.0和vSphere Client安装和配置
- 操作系统原理第六章:进程同步
- BZOJ 3597 SCOI2014 方伯伯送椰子 网络流分析+SPFA
- [推荐算法]ItemCF,基于物品的协同过滤算法
- 第一个DNN 模块PictureGallery已经完成
- CentOS7网络配置,安装jdk,tomcat和mysql全过程
- leetcood学习笔记-107-二叉树的层次遍历二
- UserCF、 KNN 和 TopK
- 计算机网路网络层之DHCP协议
- Hadoop开发环境搭建之Eclipse配置
- 使用Python在指定文件夹新建一个文本文档(其他类型文件也可)
- Mybatis 事务管理器 TransactionManager
- 【笔记】74HC573的一些记录
- 微软输入法设置小鹤双拼
- 渗透学python的哪方面_渗组词_渗字组词
- adb发送什么命令能在手机屏幕弹窗显示_Android 手机投屏在 Ubuntu 上的方法
- 中兴笔试题目总结(四)软件工程部分
- SQL SERVER 如何调试存储过程
- 小游戏策划案例精选_趣味小游戏活动方案_趣味游戏活动策划书