日志存放目录

/var/log

常用的系统日志如下

/var/log/dmesg        --系统核心启动日志/var/log/messages    --系统报错或重启服务等日志/var/log/maillog       --邮件系统日志/var/log/cron　　　　--cron(定制任务日志：计划任务执行成功与否在这个文件中看)/var/log/secure　　　--验证系统用户登录

记录所有登入和登出日志

[root@xuegod163 ~]# > /var/log/wtmp [root@xuegod163 ~]# lastwtmp begins Mon Jul 20 21:35:35 2015

记录错误日志登入尝试

[root@xuegod163 log]# lastbroot     tty3                          Fri Jun 26 10:26 - 10:26  (00:00)    root     tty2                          Fri Jun 26 10:26 - 10:26  (00:00)

 

测试：

[root@xuegod63 ~]# su - san[san@xuegod63 ~]$ ssh root@192.168.1.63[root@xuegod63 log]# ll btmp  -h-rw-------. 1 root utmp 768 10月 23 21:56 btmp#如果btmp文件特别大，说明d 有人在暴力破解你的服务器

日志记录方式：先分类，然后每个类中在分级别

主要7种日志分类(FACILITY):

authpriv	   安全认证相关cron       at和cron定时相关daemon     后台进程相关kern       内核产生lpr        打印系统产生mail       邮件系统相关syslog     日志服务本身news       新闻系统  （和BBS差不多，新闻组）uucp       uucp系统产生 。Unix-to-Unix Copy(UNIX至UNIX的拷贝)，Unix系统的一项功能，允许计算机之间以存储-转发方式交换e-mail和消息。在Internet兴起之前是Unix系统之间连网的主要方式。

8个日志级别：排列由轻到重

级别(PRIOROTY):debug                 排错信息。开发人info                  正常信息notice                稍微要注意的warn                  警告err(error)            错误crit(critical)         关键的错误alert                 警报警惕emerg(emergency)      紧急，突发事件

日志服务配置文件：

#vim /etc/rsyslog.conf

例：

kern.*  内核类型的所级别日志*.info;mail.none;news.none;authpriv.none;cron.none：由于 mail, news, authpriv, cron 等类别产生的讯息较多，因此在 /var/log/messages 里面不记录这些项目。除此其他讯息都写入 /var/log/messages 中。所以messages 文件很重要authpriv.* 认证方面的讯息均写入 /var/log/secure 档案； mail.*：邮件方面的讯息则均写入 /var/log/maillog 档案； cron.*：例行性工作排程均写入 /var/log/cron 档案； local7.*：将本机开机时应该显示到屏幕的讯息写入到 /var/log/boot.log 档案中；

日志输入输出规则

例：

.  ：代表『比后面还要高的等级都被记录下来』的意思，例如： mail.info 代表只要是 mail 类型的信息，而且该信息等级高于 info (包括 info 本身)时，就会被记录下来的意思。 .=  ：代表所需要的等级就是后面接的等级而已， 其他的都不要！ .!  ：代表不等于， 亦即是除了该等级外的其他等级都记录。举例：cron.none   对于cron类型日志不记录任何信息cron.=err   对于cron类型日志只记录err级别的信息cron.err    对于cron类型日志记录大于err级别的信息cron.!err   对于cron类型日志不记录err级别的信息，其他级别都记录。

记录日志的位置

1、日志的相对路径：通常就是放在 /var/log 中

2、 存在远程日志服务器上

3、有时日志会直接弹出在屏幕上。类似于wall命令

扩展：

wali命令介绍：　　

 wall -- send a message to everybody’s terminal.

例：

[root@xuegod163 ~]# vim /etc/rsyslog.confmail.*                                                  -/var/log/maillog在上面的第四行关于 mail 的记录中，在记录的档案 /var/log/maillog 前面还有个减号『 - 』是干嘛用的？由于邮件所产生的讯息比较多，因此我们希望邮件产生的讯息先储存在速度较快的内存中 (buffer) ，等到数据量够大了才一次性的将所有数据都填入磁盘内，这样将有利于减少对磁盘读写的次数，减少IO读写开销。另外，由于讯息是暂存在内存内，因此若不正常关机导致登录信息未写入到文档中，可能会造成部分数据的遗失。