3.4 Linux系统日志的清除

1、预备知识：Linux系统日志的特点

日志（log）是指系统所指定对象的某些操作和操作结果按时间先后顺序组合形成的结合。每个日志文件由日志记录组成，每条日志记录描述了一次单独的系统事件。通常情况下，系统日志是用户可以直接阅读的文本文件，其中包含了一个时间戳和一个信息或子系统所特有的其他信息。

1.1 Linux系统中的主要日志

在Linux系统中，有以下3个主要的日志子系统：

（1）系统接入日志。多个程序会记录该日志，分别记录到/var/log/wtmp和/var/log/utmp中，telnet和ssh等程序都会更新wtmp和utmp文件，系统管理员可以根据该日志跟踪到谁在什么时候登录过系统。

（2）进程统计日志。进程统计日志由Linux内核记录，当一个进程终止时，进程终止文件（pacct和acct）中会对这一事件进行记录。该日志可以供系统管理员分析系统使用者对系统进行的配置，以及对文件进行的操作。

（3）错误日志。Syslog日志系统已经被许多设备兼容，Linux的Syslog可以记录系统事件，主要由syslogd程序执行，Linux系统下各种进程、用户程序和内核都可以通过Syslog文件记录重要的信息，错误日志记录在/var/log/messages中。

1.2 Linux系统日志的主要特点

在Linux系统中，有关当前登录用户的信息记录在文件utmp中；登录进入和退出等信息记录在文件wtmp中；最后一次登录文件可以用“lastlog”命令查看；数据交换、关机和重启记录在wtmp文件中。

2、实验清单

Red Hat

3、实验步骤

3.1查看Linux系统日志

（1）用“sudo -i”获取管理员权限，查看“messages”文件中的各种错误信息记录。通常，messages文件是系统管理员在进行故障诊断时首先查看的文件。

注：还有以下重要日志：

/var/log/secure：与安全有关的日志信息；
/var/log/maillog：与邮件有关的日志信息；
/var/log/cron：与定时任务有关的日志信息；
/var/log/spooler：与新设备有关的日志信息；
/var/log/boot.log：守护进程启动和停止相关的日志信息。

（2）用”who wtmp“命令查看wtmp文件的内容。该文件永久记录每个用户登录、注销及系统启动、停机的事件。

（3）使用”history“命令，查看最近执行过的命令：

3.2 手动删除Linux日志

常见的日志文件如下：

access-log：记录http/web的传输
acct/pacct：记录用户命令
aculog：记录Modem的活动
btmp：记录失败的记录
lastlog：记录最近几次成功登录的事件和最后一次不成功的登录
messages：从syslog中记录信息（有的链接到syslog文件）
syslog：从syslog中记录信息（通常链接到messages文件）
utmp：记录当前登陆的每个用户
wtmp：一个用户每次登录进入和退出时间的永久记录
xferlog：记录FTP会话

（1）在/var/log目录下，查看有哪些日志文件；

（2）使用”rm -f wtmp“命令删除wtmp文件。