Linux 系统中的日志文件承载着系统运行状态以及各种应用程序的运行信息,它们对于系统诊断与错误调试至关重要。因此,学会如何阅读和分析 Linux 日志文件是每一个 Linux 用户必须掌握的技能。本文将向您介绍 Linux 日志文件的类型、格式和常见的阅读方法,帮助您轻松了解和解决系统问题。
日志的三种类型#
- 内核及系统日志:
这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中有相当一部分程序会把自己的日志文件交由rsyslog管理,因而这些程序使用的日志记录也具有相似的格式。
- 用户日志:
这种日志数据用于记录Linux操作系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。
- 程序日志:
有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件信息。由于这些程序只负责管理自己的日志文件,因此不同程序所使用的日志记录格式可能会存在较大的差异。
常见的日志文件#
| 路径 | 说明 |
|---|---|
| /var/log/messages | 记录 Linux 内核消息及各种应用程序的公共日志信息 |
| /var/log/cron | 记录 crond 计划任务产生的事件信息 |
| /var/log/dmesg | 记录 Linux 操作系统在引导过程中的各种事件信息 |
| /var/log/maillog | 记录进入或发出系统的电子邮件活动 |
| /var/log/lastlog | 记录每个用户最近的登录事件 |
| /var/log/secure | 记录用户认证相关的安全事件信息 |
| /var/log/wtmp | 记录每个用户登录、注销及系统启动和停机事件 |
| /var/log/btmp | 记录失败的、错误的登录尝试及验证事件 |
日志的优先级别#
“
数字等级越小,优先级越高,消息越重要。
”
| 级别 | 英文单词 | 中文释义 | 说明 |
|---|---|---|---|
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能影响系统功能,需要提醒用户的重要事件 |
| 5 | NOTICE | 注意 | 不会影响正常功能,但是需要注意的事件 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
用户日志相关命令#
users#
- users命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。
[root@localhost ~]# users root
登录后复制
who#
- who命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who的默认输出包括用户名、终端类型、登录日期及远程主机。
[root@localhost ~]# who root pts/0 2019-09-06 23:56 (192.168.28.1)
登录后复制
w#
- w命令用于显示当前系统中的每个用户及其所运行的进程信息,比users、who命令的输出内容要丰富一些。
23:57:33 up 4 min, 1 user, load average: 0.02, 0.18, 0.11 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 192.168.28.1 23:56 5.00s 0.11s 0.02s w
登录后复制
last#
- last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last命令可以及时掌握Linux主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵。
[root@localhost ~]# last root pts/0 192.168.28.1 Fri Sep 6 23:56 still logged in reboot system boot 3.10.0-693.el7.x Fri Sep 6 23:52 - 23:58 (00:05) ll :0 :0 Wed Sep 4 14:09 - crash (00:07) reboot system boot 3.10.0-693.el7.x Wed Sep 4 14:06 - 14:24 (00:18) wtmp begins Wed Sep 4 14:06:18 2019
登录后复制
lastb#
- lastb命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。
[root@localhost ~]# lastb ll ssh:notty 192.168.28.1 Sat Sep 7 00:01 - 00:01 (00:00) ll :0 :0 Fri Sep 6 23:59 - 23:59 (00:00) btmp begins Fri Sep 6 23:59:42 2019
登录后复制
在本文中,我们介绍了三种常见的 Linux 日志文件类型,包括系统日志、应用程序日志和安全日志,并详细描述了它们的格式和记录内容。同时,我们还讨论了如何使用命令行工具和日志查看器来分析和阅读日志文件。相信您已经了解如何处理Linux系统中的日志文件了。如果您有任何疑问或建议,请在评论区留言,我们将竭诚为您解答。
以上就是掌握 Linux 日志分析技巧:从格式到分析全面学习的详细内容,更多请关注小闻网其它相关文章!
评论(0)