如果您管理任何Linux机器,您必须知道日志文件的位置以及其中包含的内容。这些文件通常在/var/log中。日志记录由相关的.conf文件控制。
有些日志文件是特定于发行版的,这个目录还可以包含诸如samba、apache、lighttpd、mail等应用程序。
从安全角度来看,这是5个至关重要的文件组。还会生成许多其他文件,这些文件对于系统管理和故障排除很重要。
1.主日志文件
/var/log/messages - 包含全局系统消息,包括系统启动期间记录的消息。在 /var/log/messages 中记录了一些内容,包括mail、cron、daemon、kern、auth等。
2.访问和身份验证
a)/var/log/auth.log - 包含系统授权信息,包括所使用的用户登录和身份验证机制。
b)/var/log/lastlog - 显示所有用户的最近登录信息。这不是ascii文件。您应该使用lastlog命令来查看此文件的内容。
c)/var/log/btmp - 此文件包含有关失败登录尝试的信息。使用 last 命令查看btmp文件。例如,“last -f /var/log/btmp | more”
d)/var/log/wtmp 或 /var/log/utmp - 包含登录记录。使用wtmp,您可以找到登录系统的用户。who命令使用此文件显示信息。
e)/var/log/faillog - 包含用户失败的登录尝试。使用 faillog 命令显示此文件的内容。
f)/var/log/secure - 包含与身份验证和授权权限相关的信息。例如,sshd在这里记录所有消息,包括不成功的登录。
3.软件包的安装/卸载
a)/var/log/dpkg.log - 包含使用dpkg命令安装或删除软件包时记录的信息
b)/var/log/yum.log - 包含使用yum安装包时记录的信息
4.系统
a)/var/log/daemon.log - 包含由系统上运行的各种后台守护程序记录的信息
b)/var/log/cups - 所有打印机和打印相关的日志消息
c)/var/log/cron - 每当cron守护程序(或anacron)启动cron任务时,它将在该文件中记录有关cron任务的信息
5.应用程序
a)/var/log/maillog 或 /var/log/mail.log - 包含系统上运行的邮件服务器的日志信息。例如,sendmail将有关所有已发送项目的信息记录到此文件中
b)/var/log/Xorg.x.log - 记录来自XWindows系统的消息
参考文档
https://www.netsurion.com/articles/top-5-linux-log-file-groups-in-var-log