在系统运行正常的情况下学习了解这些不同的日志文件有助于你在遇到紧急情况时从容找出问题并加以解决。
以下介绍的是20个位于/var/log/ 目录之下的日志文件。
1. /var/log/messages — 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一;它记录了各种事件,基本上什么应用都能往里写日志,在做故障诊断时可以首先查看该文件内容。
[root@localhost ~]# ll /var/log/messages
-rw-------. 1 root root 287960 Jul 2 21:26 /var/log/messages
messages日志文件是文本文件,root用户或有root组权限的用户才能查看修改。
可以分为几个字段来描述这些事件信息:
1. 事件的日期和时间
2. 事件的来源主机
3. 产生这个事件的程序[进程号]
4. 实际的日志信息
2. /var/log/dmesg — kernel会将开机信息存储在ring buffer中。您若是开机时来不及查看信息,可利用dmesg来查看。
参数:
-c 显示信息后,清除ring buffer中的内容。
-s<缓冲区大小> 预设置为8196,刚好等于ring buffer的大小。
-n 设置记录信息的层级。
主要应用:
dmesg用来显示内核环缓冲区(kernel-ring buffer)内容,内核将各种消息存放在这里。在系统引导时,内核将与硬件和模块初始化相关的信息填到这个缓冲区中。内核环缓冲区中的消息对于诊断系统问题通常非常有用。
检查硬盘是否运行在DMA模式:
检查以太网连接:
如果一切正常,那么dmesg显示每个网卡的硬件配置信息。如果某项系统服务未能得到正确的配置,dmesg日志很快就填满错误消息,这是诊断故障的良好起点。
3. /var/log/boot.log — 包含系统启动时的日志,如果系统启动之后有什么异常可以查看该文件信息。
4. /var/log/lastlog — 文件用来记录进入系统的用户信息,包括登录的时间,登录是否成功等信息。这不是一个ASCII文件,因此需要用lastlog命令查看内容。
5. /var/log/maillog — 包含来着系统运行电子邮件服务器的日志信息。例如,sendmail日志信息就全部送到这个文件中。
6. /var/log/btmp – 记录所有失败登录信息。使用last命令可以查看btmp文件。
使用防火墙屏蔽试图使用密码字典登录ssh服务的IP:
iptables -A INPUT -i eth0 -s *.*.*.0/24 -j DROP
查看恶意ip试图登录次数:
lastb | awk ‘{ print $3}’ | sort | uniq -c | sort -n
删除这个日志:
rm -rf /var/log/btmp
touch /var/log/btmp
7. /var/log/cups — 涉及所有打印信息的日志。
配置文件:/etc/cups/cupsd.conf
8. /var/log/cron — 每当cron进程开始一个工作时,就会将相关信息记录在这个文件中。
任务运行的日期与时间 、在哪台主机上运行 、运行任务的程序[进程号] 、任务运行的具体信息
9. /var/log/secure — 包含验证和授权方面信息。例如,sshd会将所有信息记录(其中包括失败登录)在这里。一般用来记录安全相关的信息,记录最多的是哪些用户登录服务器的相关日志,如果该文件很大,说明有人在破解你的 root 密码。
可以分为几个字段来描述这些事件信息:
1. 事件的日期和时间
2. 事件的来源主机 ( 通常是写主机名 )
3. 产生这个事件的程序[进程号]
4. 实际的日志信息
10. /var/log/wtmp — 是一个二进制文件,记录每个用户的登录次数和持续时间等信息。该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端tty或时间显示相应的记录。
last 命令:
功能说明:列出目前与过去登入系统的用户相关信息。
语法:last [-adRx][-f ][-n ][帐号名称...][终端机编号...]
补充说明:单独执行last指令,它会读取位于/var/log目录下,名称为wtmp的文件,并把该给文件的内容记录的登入系统的用户名单全部显示出来。
参数:
-a 把从何处登入系统的主机名称或IP地址,显示在最后一列。
-d 将IP地址转换成主机名称。
-f 指定记录文件。
-n 或- 设置列出名单的显示列数。
-R 不显示登入系统的主机名称或IP地址。
-x 显示系统关机,重新开机,以及执行等级的改变等信息。
除了手动存档和清除这些日志文件以外,还可以使用logrotate在文件达到一定大小后自动删除。logrotate程序是一个日志文件管理工具。用于分割日志文件,删除旧的日志文件,并创建新的日志文件,起到“转储”作用。可以节省磁盘空间。Linux系统默认安装logrotate工具,它默认的配置文件在:
/etc/logrotate.conf
/etc/logrotate.d/
如果觉得《centos日志文件/var/log详解》对你有帮助,请点赞、收藏,并留下你的观点哦!
