34日志文件分析

# 日志文件分析

**概述**

日志文件是用于记录Linux系统中各种运行消息的文件，相当于Linux主机的“日记”。

日志文件对于诊断和解决系统中的问题很有帮助，系统一旦出现问题时及时分析日志就会“有据可查”。此外，当主机遭受攻击时，日志文件还可以帮助寻找攻击者留下的痕迹不同的日志文件记载了不同类型的信息，例如Linux内核消息、用户登录记录、程序错误等等 。

**日志文件类型**

- 内核及系统日志：由系统服务syslog统一进行管理。
- 用户日志：记录系统用户登录以及退出系统等相关信息。
- 程序日志：由各种应用程序独立管理的日志文件，记录格式不统一。

**日志保存位置**

日志保存位置通常情况下，位于/var/log。

**主要日志文件：**

| 日志路径          | 描述                                                         |
| ----------------- | ------------------------------------------------------------ |
| /var/log/messages | 记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。 |
| /var/log/cron     | 记录crond计划任务产生的事件信息。                            |
| /var/log/dmesg    | 记录Linux系统在引导过程中的各种事件信息                      |
| /var/log/maillog  | 记录进入或发出系统的电子邮件活动                             |
| /var/log/lastlog  | 记录每个用户最近的登录事件                                   |
| /var/log/rpmpkgs  | 记录系统中安装的各rpm包列表信息                              |
| /var/log/secure   | 记录用户认证相关的安全事件信息                               |
| /var/log/wtmp     | 记录每个用户登录、注销及系统启动和停机事件                   |
| /var/run/btmp     | 记录失败的、错误的登录尝试及验证事件                         |

**内核及系统日志:**

- 由系统服务 rsyslogd 统一管理
- 主要程序：/sbin/rsyslogd
- 配置文件：/etc/rsyslog.conf

日志级别

| 数字 | 状态             | 描述                     |
| ---- | ---------------- | ------------------------ |
| 0    | EMEGR（紧急）    | 会导致主机系统不可用情况 |
| 1    | ALERT（警告）    | 必须马上采取措施解决     |
| 2    | CRIT（严重）     | 比较严重的情况           |
| 3    | ERR（错误）      | 运行出现错误             |
| 4    | WANGRNIN（提醒） | 可能会影响系统功能的事件 |
| 5    | NOTICE（注意）   | 不会影响系统但是值得注意 |
| 6    | INFO（信息）     | 一般信息                 |
| 7    | DEBUG（调试）    | 程序或系统调试信息等     |

**用户日志：**

用户日志保存了用户登录、退出等相关信息。

| 日志路径         | 描述                           |
| ---------------- | ------------------------------ |
| /var/log/lastlog | 最近的用户登录情况             |
| /var/log/wtmp    | 用户登录、注销及系统开关机情况 |
| /var/log/utmp    | 当前登录的每个用户的详细信息   |
| /var/log/secure  | 与用户验证相关的安全性事件     |