Linux Centos7 日志文件詳解

一.日志文件

日志文件對于診斷和解決系統(tǒng)中的問題很有幫助，因為在 Linux 操作系統(tǒng)中運行的程序通常會把系統(tǒng)消息和錯誤消息寫入相應的日志文件，這樣系統(tǒng)一旦出現(xiàn)問題就會“有據(jù)可查”。
此外，當主機遭受襲擊時，日志文件還可以幫助尋找襲擊者留下的痕跡。

1.日志文件的功能和分類

2.日志文件保存位置和文件介紹

Linux 操作系統(tǒng)本身和大部分服務器程序的日志文件都默認放在目錄/var/log/下。一
部分程序共用一個日志文件，一部分程序使用單個日志文件，而有些大型服務器程序由于日
志文件不止一個，所以會在/var/log/目錄中建立相應的子目錄來存放日志文件，這樣既保
證了日志文件目錄的結(jié)構(gòu)清晰，又可以快速定位日志文件。有相當一部分日志文件只有 root
用戶才有權限讀取，這保證了相關日志信息的安全性。
**

3.內(nèi)核及系統(tǒng)日志

這種日志數(shù)據(jù)由系統(tǒng)服務 rsyslog 統(tǒng)一管理，根據(jù)其主配置文件
/etc/rsyslog.conf 中的設置決定將內(nèi)核消息及各種系統(tǒng)程序消息記錄到什么位置。系統(tǒng)中有相當一部分程序會把自己的日志文件交由 rsyslog 管理，因而這些程序使用的日志記錄也具有相似的格式。

4.日志消息的級別（重點）

從配置文件/etc/rsyslog.conf 中可以看到，受 rsyslogd 服務管理的日志文件都是Linux 操作系統(tǒng)中主要的日志文件，它們記錄了 Linux 操作系統(tǒng)中內(nèi)核、用戶認證、電子郵件、計劃任務等基本的系統(tǒng)消息。在 Linux 內(nèi)核中，根據(jù)日志消息的重要程度不同，將其分為不同的優(yōu)先級別（數(shù)字等級越小，優(yōu)先級越高，消息越重要）。

5.日志記錄的一般格式

6.用戶日志分析

這種日志數(shù)據(jù)用于記錄 Linux 操作系統(tǒng)用戶登錄及退出系統(tǒng)的相關信息，包括用戶名、登錄的終端、登錄時間、來源主機、正在使用的進程操作等。

1.users 查看能登錄的用戶

2.who,w查看在線登錄的用戶

3.last,lastb查看登錄成功的用戶和登錄失敗的用戶

7.程序日志分析

有些應用程序會選擇由自己獨立管理一份日志文件（而不是交給
rsyslog 服務管理），用于記錄本程序運行過程中的各種事件信息。由于這些程序只負責管理自己的日志文件，因此不同程序所使用的日志記錄格式可能會存在較大的差異。

在 Linux 操作系統(tǒng)中，還有相當一部分應用程序沒有使用 rsyslog 服務來管理日志，而
是由程序自己維護日志記錄。例如，httpd 網(wǎng)站服務程序使用兩個日志文件 access_log 和error_log 分別記錄客戶訪問事件和錯誤事件。