分析 linux 日志文件,linux精讲|操作系统常见日志文件分析
linux运维,离不开对系统日志的分析,除syslog外,还有常用的dmesg、wtmp、btmp、bash_history等系统日志文件以及应用程序相关的日志。
一、dmesg日志:记录内核日志信息
日志文件/var/log/dmesg中记录了系统启动过程中的内核日志信息,包括系统的设备信息,以及在启动和操作过程中系统记录的任何错误和问题的信息。以下是该文件内容的部分截取。
Linux version 2.6.18-194.el5 (mockbuild@x86-007.build.bos.redhat.com) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-48)) #1 SMP Tue Mar 16 21:52:43 EDT 2010
BIOS-provided physical RAM map:
BIOS-e820: 0000000000010000 - 000000000009fc00 (usable)
BIOS-e820: 000000000009fc00 - 00000000000a0000 (reserved)
BIOS-e820: 00000000000e0000 - 0000000000100000 (reserved)
BIOS-e820: 0000000000100000 - 000000001f7d0000 (usable)
BIOS-e820: 000000001f7d0000 - 000000001f7efc00 (reserved)
BIOS-e820: 000000001f7efc00 - 000000001f7fb000 (ACPI NVS)
BIOS-e820: 000000001f7fb000 - 000000001f800000 (reserved)
BIOS-e820: 00000000e0000000 - 00000000f0000000 (reserved)
BIOS-e820: 00000000fec00000 - 00000000fec02000 (reserved)
BIOS-e820: 00000000fed20000 - 00000000fed9b000 (reserved)
BIOS-e820: 00000000feda0000 - 00000000fedc0000 (reserved)
BIOS-e820: 00000000ffb00000 - 00000000ffc00000 (reserved)
BIOS-e820: 00000000fff00000 - 0000000100000000 (reserved)
0MB HIGHMEM available.
503MB LOWMEM available.
Memory for crash kernel (0x0 to 0x0) notwithin permissible range
disabling kdump
Using x86 segment limits to approximate NX protection
On node 0 totalpages: 128976
DMA zone: 4096 pages, LIFO batch:0
Normal zone: 124880 pages, LIFO batch:31
DMI 2.3 present.
Using APIC driver default
ACPI: RSDP (v000 HP ) @ 0x000fe270
ACPI: RSDT (v001 HP 30C4 0x31100620 HP 0x00000001) @ 0x1f7efc84
ACPI: FADT (v002 HP 30C4 0x00000002 HP 0x00000001) @ 0x1f7efc00
ACPI: MADT (v001 HP 30C4 0x00000001 HP 0x00000001) @ 0x1f7efcb8
ACPI: MCFG (v001 HP 30C4 0x00000001 HP 0x00000001) @ 0x1f7efd14
ACPI: SSDT (v001 HP HPQPpc 0x00001001 MSFT 0x0100000e) @ 0x1f7f6698
ACPI: DSDT (v001 HP DAU00 0x00010000 MSFT 0x0100000e) @ 0x00000000
ACPI: PM-Timer IO Port: 0x1008
ACPI: Local APIC address 0xfec01000
ACPI: LAPIC (acpi_id[0x01] lapic_id[0x00] enabled)
Processor #0 6:13 APIC version 20
ACPI: LAPIC_NMI (acpi_id[0x01] high edge lint[0x1])
ACPI: IOAPIC (id[0x01] address[0xfec00000] gsi_base[0])
IOAPIC[0]: apic_id 1, version 32, address 0xfec00000, GSI 0-23
可以通过该日志文件来判断某些硬件设备在系统启动过程中是否被正确识别,例如:用户新添加了一个磁盘,如果该磁盘能被linux系统正确识别,那么在dmesg日志文件中应该能看到它的信息。
命令格式:dmesg |grep "sd*"
二、用户登录日志
/var/log/wtmp和/var/log/btmp是Linux系统上用户保存用户登录信息的日志文件。其中wtmp用于保存用户成功登录的记录,而btmp则用于保存你用户登录失败的日志记录,它们为系统安全审计提供了重要的信息依据。这两个文件都是二进制的,无法直接使用文本编辑工具打开,必须通过last和lastb命令进行查看。可以使用如下命令:
-bash-3.2$ last
bdkyr pts/0 123.119.*.* Thu Mar 5 23:29 still logged in
bdkyr pts/0 221.223.*.* Wed Mar 4 22:05 - 22:53 (00:48)
bdkyr pts/0 *.* .116.186 Wed Mar 4 20:41 - 20:48 (00:06)
bdkyr pts/0 *.* .110.74 Thu Feb 12 22:04 - 23:51 (01:46)
bdkyr pts/0 *.* .116.22 Wed Feb 11 22:07 - 00:24 (02:16)
bdkyr pts/2 114.*.* .57 Wed Feb 11 00:13 - 00:41 (00:27)
bdkyr pts/1 *.* .196.57 Wed Feb 11 00:13 - 00:41 (00:27)
系统管理员因该定期查看上述两个日志文件,检查是否有某些非法用户登录系统或者尝试登录系统,以确保系统安全。
三、用户操作记录
默认情况下,在每个用户的主目录下都会有一个.bash_history的文件,在该文件中保存了该用户输入的所有命令记录,管理员可以通过该文件查看某个用户到底做过什么操作。例如
cat /home/bdkyr/.bash_history
系统管理员应该定期查看该文件爱你,检查用户是否进行了一些非法操作。
四、应用日志
除了系统日志外,Linux系统的应用软件也有自己的日志,由于不同的应用软件都会有特殊的日志格式,各个应用软件的默认日志目录全部在应用程序目录下,如apache的: /usr/local/apache/log。限于篇幅的原因,在这里不能逐一介绍,作为系统管理员,应该清楚如何使用这些日志文件,以便在软件出现故障时能快速找到有效的信息支持。
分析 linux 日志文件,linux精讲|操作系统常见日志文件分析相关推荐
- 【Linux】linux 快速入门(精讲)
文章目录 一.关机,重启命令 二.linux的目录结构 三.基本命令 1.目录管理 2.基本属性 3.文件内容查看 4.vim 编辑器 四.硬链接与软连接 1.硬链接 2.软链接 3.测试 五.账号管 ...
- 精讲 MySQL 事务日志:redo log 和 undo log
来源:https://blog.csdn.net/demonson/article/details/104369733 innodb事务日志包括redo log和undo log.redo log是重 ...
- 一阶电路暂态响应的结果分析。_反激式DCDC变换器的分析、计算与仿真精讲
功率变压器模型 在分析Flyback电路之前,我觉得有必要把变压器模型做一个总结,因为我们对变压器的分析其实是在一定的模型上面进行分析的.这里阐述我的一个观点, 如果说实际测试和实验是非常重要的话 ...
- 【C语言重点难点精讲】C语言文件
文章目录 一:文件相关概念 (1)什么是文件 (2)文件名 (3)文件类型 二:文件指针 三:文件的打开和关闭 四:文件的顺序读写 (1)写 (2)读 五:文件的随机读取 (1)fseek (2)ft ...
- Linux进程控制(精讲)
文章目录 一.进程创建 fork函数初识 fork函数返回值 写时拷贝 fork常规用法 fork调用失败的原因 二.进程终止 进程退出场景 进程退出码 进程正常退出 return退出 exit函数 ...
- Linux进程概念(精讲)
文章目录 基本概念 描述进程-PCB task_struct-PCB的一种 task_struct内容分类 查看进程 通过系统目录查看 通过ps命令查看 通过系统调用获取进程的PID和PPID 通过系 ...
- Linux sed编辑器(精讲)
一.sed编辑器 sed是一种流编辑器,流编辑器会在编辑器处理数据之前基于预先提供的一组规则来编辑数据流. sed编辑器可以根据命令来处理数据流中的数据,这些命令要么从命令行中输入,要么存储在一个命令 ...
- windows ssh传文件linux,利用SSH secure Shell实现windows与linux之间传输文件
在windows下安装SSH secure Shell.默认安装后有两个快捷方式. linux下需要安装openssh-server utuntu默认安装了opens是-client,所以不需要安装, ...
- linux下压缩文件解压文件,linux下 解压和压缩文件 rar文件解压
Linux 下压缩与解压.zip和.rar及.7z文件 Linux 下压缩与解压.zip和.rar及.7z文件 对于Window下的常见压缩文件.zip和.rar,Linux也有相应的方法来解压它们: ...
最新文章
- centos8网络配置开启wifi_CentOS 7.5 最小安装开启 WIFI 连接的设置方法
- 三维激光重建原理与实现HALCON
- Mybatis问题解释?
- 工作心得之-------关于“表现”
- linux搭建Nexus初次体验
- linux 串口编程_ARM-Linux开发与MCU开发有何不同?上篇
- 利用 apache ab 测试服务器性能
- linuxliveu盘怎么用_施耐德LMC058 plc用U盘怎么传输程序?
- centos6.x 安装php5.6 tar,CentOs6.x安装php5.6.x Web程序 - 贪吃蛇学院-专业IT技术平台
- NSIS UI 美化类插件分享
- scrapy python下载图片_使用Scrapy自带的ImagesPipeline下载图片,并对其进行分类。
- php 启动管理工具下载,PHP管理工具compser windows下安装
- python tkinter linux,用于Python和Tkinter的Linux上的字体管理
- 定义泛型集合的命名空间:System.Collections.Generic
- Visio2010如何安装
- Android App设计规范
- 打开计算机页面闪,电脑打开网页闪烁几大原因及解决
- c语言无符号数最大值和最小值,c语言 int最大值是多少?
- AppCan学习笔记
- Vendor使用:golang的vendor是个啥?
热门文章
- java中抽象类 接口_java中的抽象类与接口
- javaconfig配置mysql_spring cloud config使用mysql存储配置文件
- 怎样将c++的对话框自动移到指定位置_【Excel技巧】如何批量创建多个指定名称的工作表...
- 静态资源java 配置文件_java web 静态资源访问配置三种方式
- 玻璃质感_素描丨零基础,你也可以画出玻璃质感
- Python用两个骰子玩掷骰子的游戏。本金为10元,当掷出“7”即获得奖金4元,否则扣除1元。编程测算玩到多少手时钱全部输完,及哪一手时钱数最多。
- python里读写excel等数据文件的6种常用方式
- python教程:关于 [lambda x: x*i for i in range(4)] 理解
- 平顶山学院计算机专业是几本,平顶山学院是几本_是二本还是三本大学?
- Powershell执行文件和脚本