如何查看linux系统警告日志
/var所有服务的登录文件或日志文件都在/var/log下。另外,一些数据库如MySQL在/var/lib下。而且用户未读邮件的默认存储位置是/var/spool/mail。
第二,:/var/log/
系统的引导日志:/var/log/boot.log
例如:feb 26 10:40:48 sendmian:sendmail启动成功。
即邮件服务启动成功!
系统日志通常存储在/var/log下。
常用的系统日志如下:
核心引导日志:/var/log/dmesg
系统错误日志:/var/log/messages
邮件系统日志:/var/log/maillog
FTP系统日志:/var/log/xferlog
安全信息以及系统登录和网络连接信息:/var/log/secure。
登录记录:/var/log/wtmp记录登录记录,它是一个二进制文件。必须使用last来读取内容。who -u /var/log/wtmp查看信息。
新闻日志:/var/log/spooler
RPM包:/var/log/rpmpkgs
XFree86 log:/var/var/log/xfree86.0 . log
引导日志:/var/log/boot.log记录引导消息,dmesg | more。
Cron(自定义任务日志)日志:/var/log/cron
安全信息以及系统登录和网络连接信息:/var/log/secure。
文件/var/run/utmp记录了当前登录的用户。
文件/var/log/wtmp记录所有登录和注销。
文件/var/log/lastlog记录了每个用户的上次登录信息。
文件/var/log/btmp记录了不正确的登录尝试。
要求身份确认的/var/log/auth.log操作较少。
三。一些订单的详细说明
/var/日志/消息
消息日志是核心系统日志文件。它包含系统启动时的引导消息,以及系统运行时的其他状态消息。IO错误、网络错误和其他系统错误将被记录在该文件中。其他信息,如某人的身份切换到root,也列在这里。如果服务正在运行,例如DHCP服务器,您可以在消息文件中观察它的活动。通常,/var/log/messages是您在排除故障时应该查看的第一个文件。
/var/log/XFree86.0.log
这个日志记录了Xfree86 Xwindows server最后一次执行的结果。如果您在启动到图形模式时遇到问题,您通常会从该文件中找到失败的原因。
& gt,
relay=root@localhost
UNIX发送邮件[1950]:g 849 NPP 01950:to=lzy@fcceec.net,
ctladdr=root (0/0),delay=00:00:04,xdelay=00:00:03,mailer=esmtp,pri=30025,
relay = fcceec . net .[10.152 . 8 . 2],dsn=2.0.0,stat=Sent(消息排队)
/var/日志/消息
该日志文件是许多进程日志文件的汇总,从中可以看出任何入侵企图或成功入侵。比如下面这几行:
9月3日08:30:17 UNIX登录[1275]:苏樱的登录2失败(空),
认证失败
UNIX -苏樱[2017]:苏樱从以下位置登录pts/1
fcceec.www.ec8.pfcc.com.cn
sep 4 17:40:39 UNIX su(PAM _ UNIX)[2048]:苏樱为用户root打开了会话(uid=999)
该文件的格式是,每行包含日期、主机名和程序名,后跟一个包含PID或内核标识的方形封闭符号、一个冒号和一个空格,最后是一条消息。该文档的一个缺点是记录的入侵尝试和成功的入侵事件被淹没在大量的正常过程的记录中。但是,该文件可以由/etc/syslog文件定制。/etc/syslog.conf配置文件决定了系统如何写入/var/消息。如何配置/etc/syslog.conf文件来确定系统日志记录的行为将在后面详细描述。
/var/log/syslog
默认情况下,RedHat Linux不生成日志文件,但是您可以配置/etc/syslog.conf让系统生成日志文件。它不同于/etc/log/messages日志文件,因为它只记录警告信息,通常是关于系统问题的信息,所以我们应该更加注意这个文件。要让系统生成此日志文件,请添加:*。将/var/log/syslog添加到/etc/syslog.conf文件中。该日志文件可以记录用户登录时login记录的错误密码、Sendmail的问题、su命令执行失败等信息。以下为实录:
Sep 6 16:47:52 UNIX登录(pam_unix)[2384]:检查通过;用户未知
/var/log/secure
该日志文件记录与安全相关的信息。日志文件的一部分如下:
sep 4 16:05:09 UNIX xinetd[711]:START:FTP PID = 1815 from = 127 . 0 . 0 . 1
UNIX xinetd[1815]:USERID:FTP其他:root
sep 4 16:07:24 UNIX xinetd[711]:EXIT:FTP PID = 1815 duration = 135(秒)
sep 4 16:10:05 UNIX xinetd[711]:START:FTP PID = 1846 from = 127 . 0 . 0 . 1
sep 4 16:10:05 UNIX xinetd[1846]:用户ID: ftp其他:root
sep 4 16:16:26 UNIX xinetd[711]:EXIT:FTP PID = 1846 duration = 381(秒)
sep 4 17:40:20 UNIX xinetd[711]:START:telnet PID = 2016 from = 10.152 . 8 . 2
/var/log/lastlog
该日志文件记录了最近一次成功登录事件和上次不成功登录事件,由login生成。每次用户登录时都会被查询。这个文件是二进制文件,需要使用lastlog命令查看,按照UID排序显示登录名、端口号和上次登录时间。如果用户从未登录,将显示为“**从未登录* *”。该命令只能以root权限执行。只需输入lastlog命令,您将看到类似如下的信息:
最新用户名端口
根tty 2 2002年9月3日星期二08:32:27 +0800
bin **从未登录* *
守护进程**从未登录* *
adm **从未登录* *
lp **从未登录* *
同步**从未登录* *
关机**从未登录* *
暂停**从未登录* *
邮件**从未登录* *
新闻**从未登录* *
uucp **从未登录* *
操作员**从未登录* *
游戏**从未登录* *
gopher **从未登录* *
2002年9月3日星期二
没有人**从未登录* *
nscd **从未登录* *
mailnull **从未登录* *
标识**从未登录* *
rpc **从未登录* *
RPC用户**从未登录* *
xfs **从未登录* *
gdm **从未登录* *
postgres **从未登录* *
apache **从未登录* *
lzy tty 2 Mon Jul 15 08:50:37+0800 2002
苏樱tty 2 2002年9月3日星期二08:31:17 +0800
诸如bin、daemon、adm、uucp和mail之类的系统帐户绝对不能登录。如果发现这些账号被登录过,就说明系统可能被入侵了。如果发现记录的时间不是用户最后一次登录的时间,说明用户的账号已经泄露。
/var/log/wtmp
日志文件永久记录每个用户的登录和注销以及系统的启动和关闭事件。所以随着系统正常运行时间的增加,文件的大小会越来越大,增加的速度取决于系统用户登录的次数。日志文件可以用来查看用户的登录记录,最后一个命令可以通过访问这个文件来获取这些信息,以逆序从后向前显示用户的登录记录。last还可以根据用户、终端tty或时间显示相应的记录。
该命令最后有两个可选参数:
last -u用户名显示用户的最后一次登录。
Last -t days显示指定天数之前的用户登录。
/var/run/utmp
该日志文件记录了当前登录的每个用户的信息。因此,该文件会随着用户登录和注销系统而不断变化。它只保留当时在线的用户的记录,不会为用户保留永久记录。系统中需要查询当前用户状态的程序,比如who,W,users,finger,都需要访问这个文件。日志文件不可能包含所有准确的信息,因为一些突发的错误会终止用户登录会话,而且系统没有及时更新utmp记录,所以日志文件的记录并不是100%可信的。
上面提到的三个文件(/var/log/wtmp,/var/run/utmp,/var/log/lastlog)是日志子系统的关键文件,它们都记录了用户登录。这些文件中的所有记录都包含时间戳。这些文件是以二进制保存的,所以不能用less、cat等命令直接查看这些文件,需要使用相关命令通过这些文件查看。其中utmp和wtmp文件具有相同的数据结构,而lastlog文件使用另一种数据结构,其具体的数据结构可以通过man命令查询。
每次用户登录时,登录程序都会在文件lastlog中检查用户的UID。如果存在,则用户的上次登录、注销时间和主机名被写入标准输出,然后登录程序在lastlog中记录新的登录时间,打开utmp文件并插入用户的utmp记录。在用户登录和注销之前,此记录已被删除。Utmp文件被各种命令使用,包括who、W、users和finger。
接下来,登录程序打开文件wtmp并附加用户的utmp记录。当用户登录和注销时,带有更新时间戳的相同utmp记录被附加到该文件。wtmp文件由程序最后使用。
/var/log/xferlog
该日志文件记录FTP会话,并可以显示用户将哪些文件复制到FTP服务器或从FTP服务器复制了哪些文件。这个文件会显示用户复制到服务器上入侵服务器的恶意程序,以及用户复制了哪些文件供他使用。
文件的格式是:第一个字段是日期和时间,第二个字段是下载文件所用的秒数,远程系统的名称,文件大小,本地路径名,传输类型(A: ASCII,B: binary),与压缩相关的标志或tar,或者“_”(如果没有压缩),传输方向(相对于服务器:I代表in,O)。r:真实用户)、用户名、服务名(通常是ftp)、认证方式(L: RFC 931,或0)、被认证用户的ID或“*”。以下是该文件的记录:
2002年9月4日星期三
/var/FTP/lib/libnss _ files-2 . 2 . 2 . so b _ o a-root @ UNIX FTP 0 * c
/var/log/kernlog
默认情况下,RedHat Linux不记录日志文件。要启用该日志文件,必须在/etc/syslog.conf文件中添加一行:kern。* /var/log/kernlog。这允许将所有内核消息记录到/var/log/kernlog文件中。该文件记录系统启动时设备的加载或使用情况。一般都是正常操作,但是如果这些操作被非授权用户记录下来,你就要注意了,因为有可能是恶意用户的行为。以下是文件的一部分:
9月5日09:38:42 UNIX内核:NET4:用于NET4.0的Linux TCP/IP 1.0
9月5日09:38:42 UNIX内核:IP协议:ICMP、UDP、TCP、IGMP
Sep 5 09:38:42 UNIX内核:IP:512桶的路由缓存哈希表,4kb
Sep 5 09:38:43 UNIX内核:TCP:已配置哈希表(已建立4096绑定4096)
9月5日09:38:43 UNIX内核:Linux IP多播路由器0.06加PIM-SM
sep 5 09:38:43 UNIX kernel:net 4:UNIX domain sockets 1.0/SMP for Linux net 4.0
Sep 5 09:38:44 UNIX内核:EXT2-fs警告:检查时间已到,建议运行e2fsck
9月5日09:38:44 UNIX内核:VFS:挂载根(ext2文件系统)。
Sep 5 09:38:44 UNIX内核:SCSI子系统驱动程序修订版:1.00
/var/log/Xfree86.x.log
这个日志文件记录了X-Window的启动。另外,除了/var/log/,恶意用户还可能在其他地方留下痕迹,以下地方需要注意:root等账号的shell历史文件;用户的各种邮箱,如。sent、mbox和邮箱存储在/var/spool/mail/和/var/spool/mqueue;临时文件/tmp、/usr/tmp、/var/tmp;隐藏的目录;由其他恶意用户创建的文件通常具有以“.”开头的隐藏属性。
第四,具体命令
Wtmp和utmp文件是二进制文件,不能通过tail等命令(使用cat命令)进行剪切粘贴或合并。用户需要使用who、W、Users、last和ac等命令来使用这两个文件中包含的信息。
谁点的
who命令查询utmp文件并报告当前登录的每个用户。who的默认输出包括用户名、终端类型、登录日期和远程主机。例如,键入who命令并按Enter键,将显示以下内容:
chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
刘易斯pts/4 Aug 65438
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15
如果指定了wtmp文件名,who命令将查询所有以前的记录。命令who /var/log/wtmp将报告自从创建或删除wtmp文件以来的每次登录。
w命令
w命令查询utmp文件,并显示关于每个用户及其在当前系统中运行的进程的信息。例如,键入w命令并按Enter键,将显示以下内容:
下午3:36上升1天,22:34,6个用户,平均负载:0.23,0.29,0.27
登录@ IDLE JCPU PCPU WHAT的用户TTY
昌pts/0 202.38.68.242下午3:06下午2:04 0.08s 0.04s -bash
英果pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w
刘易斯pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s-bash
刘易斯pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh/home/users/
yng uo pts/7 Simba . NIC . ustc . e 2:12pm 0.00s 0.47s 0.24s telnet邮件
ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s-bash
用户命令
users命令在一行中打印出当前登录的用户,每个显示的用户名对应一个登录会话。如果用户有多个登录会话,其用户名将显示相同的次数。例如,键入users命令并按Enter键,将显示以下内容:
杨·刘易斯·刘易斯
最后一个命令
最后一个命令搜索wtmp,以显示自文件首次创建以来登录的用户。例如:
昌pts/9 202.38.68.242星期二8月1 08:34-11:23(02:49)
cfan pts/6 202.38.64.224星期二08月18:33-08:48(00:14)
昌pts/4 202.38.68.242星期二8月1 08:32-12:13(03:40)
刘易斯pts/3 202.38.64.233星期二8月1 08:06-11:09(03:03)
路易斯pts/2 202.38.64.233星期二8月1 07:56-11:09(03:12)
如果指定了用户,last仅报告该用户最近的活动。例如,键入最后一个ynguo命令并按Enter键,将显示以下内容:
yng uo pts/4 Simba . NIC . ustc . e Fri 8月4日
ynguo pts/4 simba.nic.ustc.e周四8月3日23:55 - 04:40 (04:44)
yng uo pts/11 Simba . NIC . ustc . e周四8月3日20:45 - 22:02 (01:16)
ynguo pts/0 simba.nic.ustc.e周四8月3日03:17 - 05:42 (02:25)
yng uo pts/0 Simba . NIC . ustc . e Wed Aug 2 01:04-03:16 1+02:12)
yng uo pts/0 Simba . NIC . ustc . e Wed Aug 2 00:43-00:54(00:11)
yng uo pts/9 Simba . NIC . ustc . e Thu Aug 1 20:30-21:26(00:55)
交流命令
ac命令根据当前/var/log/wtmp文件中的登录入口和出口报告用户连接时间(小时),如果不使用该标志,则报告总时间。例如,键入ac命令并按Enter键,将显示以下内容:
总计5177.47
键入ac -d命令,然后按Enter键显示每天的总连接时间:
Aug 12总计261.87
Aug 13总计351.39
Aug 14总计396.09
Aug 15总计462.63
Aug 16总计270.45
2007年8月104.29
今天总计179.02
键入ac -p命令,然后按Enter键显示每个用户的总连接时间:
ynguo 193.23
曹禺3.35
容133.40
hdai 10.52
zjzhu 52.87
zqzhou 13.14
刘亮24.34
总计5178.24
Lastlog命令
每次用户登录时,都会查询lastlog文件。您可以使用lastlog命令来检查特定用户的上次登录时间以及print format的上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果用户从未登录,lastlog会显示**从未登录* *。请注意,您需要以root用户身份运行该命令,例如:
荣5 202 . 38 . 64 . 187 8月18 15:57:01+0800 2000
dbb **从未登录* *
陈欣**从未登录* *
Pb 9511 **从未登录* *
xchen 0 202 . 38 . 64 . 190 Sun Aug 13 10:01:22+0800 2000
此外,还可以添加一些参数,比如“last -u 102”命令会报告UID为102的用户;“last -t 7”命令表示报告仅限于上周。
动词 (verb的缩写)过程统计
UNIX可以跟踪每个用户运行的每个命令。如果你想知道昨晚哪些重要文件被搞乱了,进程统计子系统可以告诉你。它也有助于追踪入侵者。与连接时间日志不同,默认情况下不会激活进程统计子系统,必须启动它。accton命令用于在Linux系统中启动进程统计,必须以root身份运行。
accton命令是accton文件的形式,必须预先存在。
使用touch命令创建一个pacct文件:touch /var/log/pacct,然后运行accton: accton/var/log/pacct。一旦accton被激活,您就可以使用lastcomm命令来监视系统中任何时候执行的命令。要关闭统计,可以使用不带任何参数的accton命令。
lastcomm命令报告以前执行的文件。如果没有参数,lastcomm命令将显示当前统计文件的生命周期中记录的所有命令的信息。包括命令名、用户、tty、命令花费的CPU时间和时间戳。如果系统有很多用户,输入可能会很长。请看下面的例子:
crond F根?0.00秒太阳8月20日00:16
promisc_check.s的根?0.04秒太阳8月20日00:16
promisc _检查根?0.01秒太阳8月20日00:16
grep root?0.02秒太阳8月20日00:16
尾根?0.01秒太阳8月20日00:16
sh根?0.01秒星期日8月20日00:15
平氏根?0.01秒星期日8月20日00:15
ping6.pl F root?0.01秒星期日8月20日00:15
sh根?0.01秒星期日8月20日00:15
平氏根?0.02秒太阳8月20日00:15
ping6.pl F root?0.02秒太阳8月20日00:15
sh根?0.02秒太阳8月20日00:15
平氏根?0.00秒太阳8月20日00:15
ping6.pl F root?0.01秒星期日8月20日00:15
sh根?0.01秒星期日8月20日00:15
平氏根?0.01秒星期日8月20日00:15
sh根?0.02秒太阳8月20日00:15
平氏根?1.34秒太阳8月20日00:15
找到根ttyp0 1.34秒Sun Aug 20 00:15
accton S root ttyp0 0.00秒Sun Aug 20 00:15
进程统计的一个问题是pacct文件可能会增长得非常快。这时候就需要交互或者通过cron机制运行sa命令,保证日志数据在系统控制之下。sa命令报告、清理和维护进程统计文件。它可以将/var/log/pacct中的信息压缩成抽象文档/var/log/savaccut和/var/log/usracct。这些摘要包含按命令名和用户名分类的系统统计信息。默认情况下,sa会先读取这些文件,然后再读取pacct文件,这样报告就可以包含所有可用的信息。sa的输出包含以下标记的项目。
/var/log目录下20个Linux日志文件的功能详解:
如果您愿意花一些时间在Linux环境中,您应该首先知道日志文件在哪里以及它们包含什么。在系统正常运行的情况下了解这些不同的日志文件,有助于您在紧急情况下发现问题并冷静解决。
以下是位于/var/log/目录中的20个日志文件。有些只有特定版本才采用,比如dpkg.log,只能在基于Debian的系统中看到。
/var/log/messages—包含整体系统信息,包括系统启动期间的日志。此外,mail、cron、daemon、kern和auth也记录在var/log/messages日志中。
/var/log/dmesg-包含内核环形缓冲区信息。系统启动时,屏幕上会显示很多硬件相关的信息。您可以使用dmesg查看它们。
/var/log/auth . log—包含系统授权信息,包括用户登录和访问机制等。
/var/log/boot . log—包含系统启动时的日志。
/var/log/daemon . log—包含各种系统后台守护程序日志信息。
/var/log/dpkg . log–包括安装或dpkg命令来清除软件包的日志。
/var/log/kern . log–包含内核生成的日志,这有助于解决定制内核时出现的问题。
/var/log/lastlog—记录所有用户的最新信息。这不是一个ASCII文件,所以您需要使用lastlog命令来查看内容。
/var/log/mail log/var/log/mail . log—包含运行系统的电子邮件服务器的日志信息。例如,所有sendmail日志信息都发送到该文件。
/var/log/user . log—记录所有级别用户信息的日志。
/var/log/xorg . X . log-记录来自X的信息..
/var/log/alternatives . log–更新的替代信息记录在该文件中。
/var/log/btmp-记录所有失败的登录信息。使用最后一个命令查看btmp文件。比如“last -f /var/log/btmp | more”。
/var/log/cups-一个包含所有打印信息的日志。
/var/log/anaconda . log—安装Linux时,所有安装信息都存储在该文件中。
/var/log/yum . log—包含有关使用yum安装的软件包的信息。
/var/log/cron—每当cron进程启动一个作业时,它都会在该文件中记录相关信息。
/var/log/secure—包含有关身份验证和授权的信息。例如,sshd将在这里记录所有信息(包括失败的登录)。
/var/log/wtmp或/var/log/utmp—包含登录信息。使用wtmp,您可以发现谁正在登录系统,谁使用命令来显示这个文件或信息,等等。
/var/log/fail log-包含有关用户登录失败的信息。此外,不正确的登录命令也会记录在该文档中。
除了上述日志文件,/var/log还包含以下子目录,这些子目录基于系统的具体应用:
/var/log/httpd/or/var/log/Apache 2—包含服务器访问日志和错误日志信息。
/var/log/light tpd/-包含httpd的访问日志和错误日志。
/var/log/mail/–该子目录包含邮件服务器的其他日志。
/var/log/prelink/-包含。所以文件被预链接修改了。
/var/log/audit/-包含Linux审计守护程序存储的信息。
/var/log/samba/–包含samba存储的信息。
/var/log/sa/—包含sysstat软件包每天收集的sar文件。
/var/log/sssd/–用于守护程序安全服务。
除了手动归档和清除这些日志文件之外,还可以使用logrotate在文件达到一定大小时自动删除文件。可以尝试用vi、tail、grep等命令查看这些日志文件。