Linux之日志系統

    日志檔案是記錄Linux系統中各種運作消息的檔案，相當于Linux系統的“日記”。不同的日志檔案記載了不同類型的資訊，如核心資訊、使用者日志、程式錯誤等。

    在Linux系統中，主要包含三種日志：

核心及系統日志：由系統服務rsyslog統一管理，其主配置檔案/etc/rsyslog.conf設定了将核心消息及各種系統程式消息記錄到什麼位置。

使用者日志：這種日志主要記錄Linux系統使用者登陸及退出的相關資訊，包括使用者名、登陸的終端、登陸時間、來源主機、正在使用的程序等。

程式日志：有些應用程式會選擇由自己獨立管理日志檔案，如httpd、MySQL等，用于記錄本程式運作過程中的各種事件資訊。

    下面介紹常見的日志檔案：

/var/log/messages——記錄系統核心及各種應用程式的公共日志資訊，如啟動、I/O錯誤、網絡錯誤、程式故障等。

/var/log/cron——記錄crond計劃任務産生的事件資訊。

/var/log/dmesg——記錄系統在引導過程中的各種事件資訊。

/var/log/maillog——記錄進入或發出系統的電子郵件活動。

/var/log/lastlog——記錄每個使用者最近的登陸資訊，為二進制檔案。

/var/log/secure——記錄使用者認證相關的安全事件資訊。

/var/log/wtmp——記錄每個使用者登陸、登出及系統啟動和停機事件，為二進制檔案

/var/log/btmp——記錄失敗的、錯誤的登陸嘗試及驗證事件。

    核心及大多數系統日志記錄在公共日志檔案/var/log/messages中，很多程式日志由應用程式自己管理，而使用者日志大多是二進制檔案，需要用相關的指令來檢視。如：

1 顯示目前系統使用者：

[root@localhost log]# whoami                      #顯示目前登陸的使用者

root

[root@localhost log]# users                       #簡單顯示登陸到系統的所有使用者

root zwj

[root@localhost log]# who                         #顯示所有登陸到系統的使用者包括終端、時間等

root     pts/0        2017-04-19 10:37 (192.168.154.1)

zwj      pts/1        2017-04-19 14:15 (192.168.154.1)

[root@localhost log]# w                           #和who類似，隻是内容更詳細

 14:22:25 up  6:17,  2 users,  load average: 0.12, 0.11, 0.14

USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT

root     pts/0    192.168.154.1    10:37    0.00s  1.05s  0.11s w

zwj      pts/1    192.168.154.1    14:15    3:08   0.06s  0.06s -bash

2 查詢使用者登陸曆史記錄

last：顯示成功登陸到系統的使用者記錄（/var/log/wtmp檔案）

選項：-n    最近幾次

[root@localhost ~]# last

[root@localhost ~]# last -20

lastlog：顯示每使用者最近一次登陸資訊

[root@localhost ~]# lastlog

[root@localhost ~]# lastlog -u root                #-u：指明具體使用者

lastb：顯示登陸失敗的使用者記錄（/var/log/btmp檔案）

[root@localhost ~]# lastb

本文轉自 zengwj1949 51CTO部落格，原文連結:http://blog.51cto.com/zengwj1949/1916846