2.8 KiB
2.8 KiB
Linux 系统日志详解
1、日志概览
Linux 系统日志主要用于记录:
- 系统启动过程
- 服务运行状态
- 用户登录与认证行为
- 定时任务执行情况
- 内核与硬件信息
日志是排障时最重要的证据之一。
2、安装相关日志
常见安装阶段相关文件:
/root/install.log
/root/install.log.syslog
/root/anaconda-ks.cfg
说明:
/root/install.log:安装期间的软件包和版本记录/root/install.log.syslog:安装阶段事件日志/root/anaconda-ks.cfg:安装过程生成的 Kickstart 配置参考
3、常见系统日志文件
3.1 定时任务
/var/log/cron
记录定时任务相关日志。
3.2 打印日志
/var/log/cups/
记录打印系统日志。
3.3 启动内核日志
/var/log/dmesg
记录系统启动时的内核消息,也可通过 dmesg 命令直接查看。
3.4 登录失败日志
/var/log/btmp
这是二进制日志文件,通常用下面命令查看:
lastb
3.5 最后登录记录
/var/log/lastlog
同样是二进制日志,通常使用:
lastlog
3.6 邮件日志
/var/log/maillog
记录邮件系统相关日志。
3.7 重要系统日志
/var/log/messages
很多系统重要信息都会记录到这里,是传统排障时的高频入口。
3.8 认证与授权日志
/var/log/secure
记录账户、密码、SSH 登录、su、sudo 等认证授权相关日志。
3.9 登录历史日志
/var/log/wtmp
记录用户登录、注销、重启、关机等历史事件。
查看命令:
last
3.10 当前登录信息
/var/run/utmp
记录当前登录用户信息。
常用查看命令:
w
who
users
4、二进制日志的查看方式
以下文件通常不能直接用 cat 或 vi 查看:
/var/log/btmp/var/log/wtmp/var/log/lastlog/var/run/utmp
对应常见命令:
lastb:看失败登录last:看登录历史lastlog:看每个用户最后登录时间w/who:看当前登录会话
5、常见排障思路
5.1 登录失败
重点查看:
/var/log/secure
/var/log/btmp
5.2 定时任务没执行
重点查看:
/var/log/cron
5.3 系统启动异常
重点查看:
/var/log/dmesg
/var/log/messages
5.4 服务报错
优先查看:
- 服务自身日志
/var/log/messages- 现代系统中再结合
journalctl
6、小结
- 日志是 Linux 排障的第一手资料
/var/log/messages、/var/log/secure、/var/log/cron是高频日志文件wtmp、btmp、lastlog、utmp都是偏登录审计相关的二进制日志- 遇到问题时,要先判断问题类型,再去对应日志位置查证据