Linux系統下,日誌文件主要存放在/var/log/文件下,該文件下面存放著各種系統、軟件的日誌文件。
那麼為啥存放這些日誌文件呢?
日誌文件是用於記錄系統操作事件的記錄文件或文件集合,可分為事件日誌和消息日誌。具有處理歷史數據、診斷問題的追蹤以及理解系統的活動等重要作用。
路徑 | 說明 |
/var/log/message | 包括整體系統信息,包括系統啟動期間的日誌。此外mail,cron,daemon,kern,auth等內容也記錄在此日誌中。 |
/var/log/dmesg | 包含一些內核緩衝信息,在系統啟動時,會在屏幕上顯示許多與硬件相關的信息。 |
/var/log/auth.log | 包含系統授權信息,如用戶登錄和使用的權限機制等 |
/var/log/boot.log | 包含系統啟動的日誌 |
/varlog/daemon.log | 包含各種系統後臺守護進程的日誌信息 |
/var/log/dpkg.log | 包含安全或dpkg命令清除軟件包的日誌 |
/var/log/kern.log | 包含內核產生的日誌,有助於在定製內核時解決問題 |
/var/log/lastlog | 記錄所有用戶最近信息,它不是一個ASCII文件,需要使用lastlog命令查看內容 |
/var/log/maillog /var/log/mail.log | 包含著系統運行電子郵件服務器的日誌信息 |
/var/log/user.log | 記錄所有等級用戶信息的日誌 |
/var/log/Xorg.x.log | 記錄來自X的日誌信息 |
/var/log/alternatives.log | 更新替代信息都記錄在這個文件中 |
/var/log/btmp | 記錄所有失敗登錄信息。使用last命令可以查看btmp文件 |
/var/log/cups | 涉及所有打印信息日誌 |
/var/log/anaconda.log | 安裝Linux時,所有安全信息都存儲在這個文件中 |
/var/log/cron | 每當cron進行開始一個工作時,就會將現相關信息記錄在這個文件夾中 |
/var/log/secure | 包含驗證和授權方面的信息。sshd會將所有信息記錄在這裡 |
/var/log/wtmp /var/log/utmp | 包含登錄信息。wtmp可以找出誰正在登錄進入系統,誰使用命令顯示這個文件或信息等 |
/var/log/faillog | 包含用戶登錄失敗信息。注意,錯誤登錄命令也會被記錄在此文件中 |
/var/log/httpd /var/log/apache2 | 包含服務器access_log和error_log信息 |
/var/log/lighttpd | 包含light https的access_log和error_log |
/var/log/mail | 子目錄包含郵件服務器的額外日誌 |
/var/log/prelink | 包含.so文件被prelink修改的信息 |
/var/log/audit | 包含被Linux audit daemon存儲的信息 |
/var/log/samba | 包含samba存儲的信息 |
/var/log/sa | 包含每日由sysstat軟件包收集的sar文件 |
/var/log/sssd | 用戶守護進程安全服務 |
定期的備份日誌文件,防止日誌文件的刪除,保證日誌文件的安全性。
日誌文件的安全性:為了誤刪除日誌信息,可以通過設置一個隱藏的屬性來設置日誌文件為只可以增加數據但不能被刪除的狀態。由於root可以在系統上面進行任何事情,所以將root這個賬戶的密碼設置的安全一些。特別注意:當不小心改動過日誌文件,如使用vi打開它,修改後,離開時執行:wq參數,則該文件將來不會再繼續進行日誌操作。可以通過執行 chattr +a 日誌文件目錄 來設置日誌文件屬性,防止日誌文件被修改或刪除。
閱讀更多 IT小明 的文章