Linux的日志文件放在哪个目录下 Linux的日志文件放在哪个目录下

Linux日志文件放在哪个目录下？以下文字资料由边肖为大家收集出版。让我们快速看一下！

红帽Linux常见日志文件详细如下

◆/var/log/boot.log

该文件记录了系统引导过程中发生的事件，即Linux系统引导自测过程中显示的信息。

◆/var/log/cron

日志文件记录了从crontab守护程序crond派生的子进程的操作，前面是用户、登录时间和PID，以及派生进程的操作。

CMD的一个动作是cron导出调度过程的常见情况。

REPLACE操作记录用户对其cron文件的更新，该文件列出了要定期执行的任务计划。

RELOAD操作发生在REPLACE操作之后不久，这意味着cron注意到用户的cron文件被更新，cron需要将其重新加载到内存中。

该文档中可能有一些异常。

◆/var/log/maillog

日志文件记录了发送到系统或从系统发出的每封电子邮件的活动。

它可以用来查看用户使用哪个系统发送工具，或者数据被发送到哪个系统。

文件的格式是每行包含日期、主机名、程序名，后面是包含PID或内核标识的方括号，一个冒号和一个空框，最后是一条消息。

文件有一个缺陷，就是记录的入侵企图和成功入侵事件淹没在大量正常过程的记录中。

但是，该文件可以通过/etc/syslog文件进行自定义。

/etc/syslog.conf配置文件决定系统如何写入/var/消息。

如何配置/etc/syslog.conf文件来确定系统日志记录的行为将在后面详细描述。

◆/var/log/syslog

默认的RedHat Linux不生成这个日志文件，但是可以配置/etc/syslog.conf让系统生成这个日志文件。

与/etc/log/messages日志文件不同的是，它只记录警告信息，而警告信息往往是系统问题的信息，所以要多加注意。

要使系统生成此日志文件，请添加:*。警告/var/log/syslog到/etc/syslog.conf文件。这个日志文件可以记录用户登录时登录记录的错误密码，Sendmail的问题，su命令执行失败。

日志文件记录最近一次成功登录事件和最后一次不成功登录事件，并通过登录生成。

每次用户登录时都会查询它。该文件是一个二进制文件，需要通过lastlog命令查看。根据UID显示登录名、端口号和上次登录时间。

如果用户从未登录，将显示为“**从未登录* *”。

此命令只能以root权限执行。

系统帐户，如bin、daemon、adm、uucp、mail等。不应登录。如果发现这些帐户已经登录，系统可能已经被入侵。

如果发现记录的时间不是用户最后一次登录的时间，说明用户账号已经泄露。

◆/var/log/wtmp

日志文件永久记录每个用户的登录和注销事件以及系统启动和关闭事件。

所以随着系统正常运行时间的增加，文件的大小会越来越大，增加的速度取决于登录的系统用户数量。

日志文件可以用来查看用户的登录记录，最后一个命令是通过访问这个文件来获取信息的，按照从后到前的逆序显示用户的登录记录。last还可以根据用户、终端tty或时间显示相应的记录。

命令last有两个可选参数:

last -u用户名显示用户的最后一次登录。

最后t天显示指定天数之前用户的登录状态。

◆/var/run/utmp

此日志文件记录了当前登录的每个用户的信息。

因此，该文件会随着用户登录和注销系统而不断变化。它只保留当时在线用户的记录，不为用户保留永久记录。

系统中需要查询当前用户状态的程序，如谁、W、用户、手指等，都需要访问这个文件。

日志文件不能包含所有准确的信息，因为一些意外的错误会终止用户登录会话，并且系统没有及时更新utmp记录，因此日志文件中的记录不是100%可信的。

上面提到的三个文件都是日志子系统的关键文件，都是记录用户登录的。

这些文件中的所有记录都包含时间戳。

这些文件是以二进制存储的，所以你不能用less和cat这样的命令直接查看这些文件，而是需要用相关的命令通过这些文件来查看。

其中utmp和wtmp文件的数据结构相同，lastlog文件使用另一种数据结构，可以使用man命令查询它们的具体数据结构。

每次用户登录时，登录程序都会在lastlog文件中查找用户的UID。

如果存在，将用户的上次登录、注销时间和主机名写入标准输出，然后登录程序在lastlog中记录新的登录时间，打开utmp文件并插入用户的utmp记录。

当用户登录和注销时，记录被删除。

utmp文件被各种命令使用，包括who、w、user和finger。

接下来，登录程序打开文件wtmp来附加用户的utmp记录。

当用户登录和退出时，具有更新时间戳的相同utmp记录被附加到文件。

Wtmp文件由程序最后使用。

◆/var/log/xferlog

日志文件记录了文件传输协议会话，并可以显示用户从文件传输协议服务器复制了哪些文件。

该文件将显示用户复制到服务器上入侵服务器的恶意程序，以及用户复制了哪些文件供自己使用。

文件的格式如下:第一个字段是日期和时间，第二个字段是下载文件花费的秒数、远程系统名、文件大小、本地路径名、传输类型、与压缩相关的符号或tar，或者“_”、传输方向、访问模式、用户名、服务名、认证方式、认证用户的ID或“*”。

红帽Linux默认不记录日志文件。

要启用此日志文件，您必须在/etc/syslog.conf文件:kern中添加一行。* /var/log/kernlog。

这将启用将所有内核消息记录到/var/log/kernlog文件的功能。

该文件记录系统启动时设备的装载或使用情况。

一般是正常操作，但是如果你记录了这些未经授权的用户进行的操作，就要注意了，因为有可能这就是恶意用户的行为。

日志文件记录了X-Window的启动。

另外，除了/var/log/，恶意用户还可能在其他地方留下痕迹。需要注意以下地方:其他账户的root和shell历史文件；用户邮箱，如。sent、mbox和邮箱存储在/var/spool/mail/和/var/spool/mqueue中；临时文件/tmp、/usr/tmp、/var/tmp。隐藏目录；由其他恶意用户创建的文件通常是隐藏属性以“.”开头的文件。