一卑雁、登錄文件概述

1.什么是登錄文件

簡(jiǎn)單的說拓售，就是記錄系統(tǒng)活動(dòng)信息的幾個(gè)文件窥摄， 例如：何時(shí)、何地

（來(lái)源 IP）础淤、何人 （什么服務(wù)名稱）崭放、做了什么動(dòng)作 （訊息登錄啰）哨苛。 換句話說就是：記

錄系統(tǒng)在什么時(shí)候由哪個(gè)程序做了什么樣的行為時(shí)，發(fā)生了何種的事件等等币砂。

2.常見登錄文件

/var/log/boot.log：

開機(jī)的時(shí)候系統(tǒng)核心會(huì)去偵測(cè)與啟動(dòng)硬件建峭，接下來(lái)開始各種核心支持的功能啟動(dòng)等。這些流程都會(huì)記錄在

/var/log/boot.log 里面哩决摧！ 不過這個(gè)文件只會(huì)存在

這次開機(jī)啟動(dòng)的信息亿蒸，前次開機(jī)的信息并不會(huì)被保留下來(lái)！/var/log/cron：

還記得第十五章例行性工作調(diào)度吧蜜徽？你的 crontab 調(diào)度有沒有實(shí)際被進(jìn)行祝懂？ 進(jìn)行過程有沒有發(fā)生錯(cuò)誤？你的

/etc/crontab 是否撰寫正確拘鞋？在這個(gè)登錄文件內(nèi)查

詢看看砚蓬。/var/log/dmesg：

記錄系統(tǒng)在開機(jī)的時(shí)候核心偵測(cè)過程所產(chǎn)生的各項(xiàng)信息。由于 CentOS默認(rèn)將開機(jī)時(shí)核心的硬件偵測(cè)過程取消顯示盆色， 因此額外將數(shù)據(jù)記錄一份在這個(gè)文件中灰蛙；

/var/log/lastlog：

可以記錄系統(tǒng)上面所有的帳號(hào)最近一次登陸系統(tǒng)時(shí)的相關(guān)信息。第十三章講到的 lastlog 指令就是利用這個(gè)文件的記錄信息來(lái)顯示的隔躲。

/var/log/maillog或 /var/log/mail/ *：

記錄郵件的往來(lái)信息摩梧，其實(shí)主要是記錄 postfix（SMTP 協(xié)定提供者） 與 dovecot （POP3 協(xié)定提供者） 所產(chǎn)生的訊息啦。 SMTP 是發(fā)信所使用的通訊協(xié)定宣旱， POP3 則是收信使用的通訊協(xié)定仅父。 postfix 與 dovecot 則分別是兩套達(dá)成通訊協(xié)定的軟件。

/var/log/messages：這個(gè)文件相當(dāng)?shù)闹匾胍鳎瑤缀跸到y(tǒng)發(fā)生的錯(cuò)誤訊息 （或者是重要的信息） 都會(huì)記錄在這個(gè)文件中笙纤； 如果系統(tǒng)發(fā)生莫名的錯(cuò)誤時(shí)，這個(gè)文件是一定要查閱的登錄文件之一组力。/var/log/secure：

基本上省容，只要牽涉到“需要輸入帳號(hào)密碼”的軟件，那么當(dāng)?shù)顷憰r(shí) （不管登陸正確或錯(cuò)誤） 都會(huì)被記錄在此文件中燎字。 包括系統(tǒng)的

login程序腥椒、圖形接口登陸所使

用的 gdm 程序、su,sudo等程序候衍、還有網(wǎng)絡(luò)連線的ssh, telnet 等程序笼蛛， 登陸信息都會(huì)

被記載在這里；/var/log/wtmp, /var/log/faillog：

這兩個(gè)文件可以記錄正確登陸系統(tǒng)者的帳號(hào)信息（wtmp） 與錯(cuò)誤登陸時(shí)所使用的帳號(hào)信息 （faillog） 蛉鹿！ 我們?cè)诘谑抡劦降?/p>

last就是

讀取 wtmp 來(lái)顯示的伐弹， 這對(duì)于追蹤一般帳號(hào)者的使用行為很有幫助！/var/log/httpd/, /var/log/samba/：

不同的網(wǎng)絡(luò)服務(wù)會(huì)使用它們自己的登錄文件來(lái)記載它們自己產(chǎn)生的各項(xiàng)訊息！上述的目錄內(nèi)則是個(gè)別服務(wù)所制訂的登錄文件惨好。

二煌茴、登錄文件管理

CentOS 提供rsyslog.service這個(gè)服務(wù)來(lái)統(tǒng)一管理登錄文件喔！

并且日川，登錄日志過于龐大的問題可以通過 logrotate（登錄文件輪替） 這玩意兒來(lái)自動(dòng)化處理登錄文件容量與更新的問題喔蔓腐！

所謂的 logrotate 基本上，就是將舊的登錄文件更改名稱龄句，然后創(chuàng)建一個(gè)空的登錄文件回论，如此

一來(lái)， 新的登錄文件將重新開始記錄分歇，然后只要將舊的登錄文件留下一陣子傀蓉，嗯！那就可以

達(dá)到將登錄文件“輪轉(zhuǎn)”的目的啦职抡！ 此外葬燎，如果舊的記錄 （大概要保存幾個(gè)月吧！） 保存了一

段時(shí)間沒有問題缚甩，那么就可以讓系統(tǒng)自動(dòng)的將他砍掉谱净， 免得占掉很多寶貴的硬盤空間說！

總結(jié)一下擅威，針對(duì)登錄文件所需的功能壕探，我們需要的服務(wù)與程序有：

systemd-journald.service：最主要的訊息收受者，由 systemd 提供的郊丛；

rsyslog.service：主要登錄系統(tǒng)與網(wǎng)絡(luò)等服務(wù)的訊息李请；

logrotate：主要在進(jìn)行登錄文件的輪替功能。

1.日志格式

以下面日志為例：

[root@study ~]#cat/var/log/secure

Aug1718:38:06studylogin: pam_unix（login:session）: session openedforuser root by LOGIN（uid=0）

Aug1718:38:06studylogin: ROOT LOGIN ON tty1

Aug1718:38:19studylogin: pam_unix（login:session）: session closedforuser root

Aug1823:45:17study sshd[18913]: Accepted passwordfordmtsai from192.168.1.200port41524ssh2

Aug1823:45:17study sshd[18913]: pam_unix（sshd:session）: session openedforuser dmtsai by （uid=0）

Aug1823:50:25studysudo: dmtsai : TTY=pts/0; PWD=/home/dmtsai ; USER=root ; COMMAND=/bin/su-Aug1823:50:25studysu: pam_unix（su-l:session）: session openedforuser root by dmtsai（uid=0）|--日期/時(shí)間---|--H--|-服務(wù)與相關(guān)函數(shù)-|-----------訊息說明------>

主要包括：日期　　時(shí)間　　主機(jī)名稱　　指令/程序　　訊息內(nèi)容

8.17　　18:38　　syudy　　　login　　　　root在tty1登錄了

2.rsyslog.service簡(jiǎn)介

參見：https://www.cnblogs.com/uetucci/p/7767064.html

3.logrotate簡(jiǎn)介

參見：http://blog.csdn.net/cjwid/article/details/1690101

關(guān)于特殊屬性的管理——chattr與lsattr可以參見之前隨筆厉熟，或點(diǎn)擊這里查看簡(jiǎn)要用法

4.日志監(jiān)控logwatch簡(jiǎn)介

參見：https://www.cnblogs.com/kevingrace/p/6519504.html

三导盅、開機(jī)流程管理

拓展閱讀參考：http://blog.csdn.net/yzhang6_10/article/details/52177128

完整介紹，參考鳥哥私房菜

1.centos7開機(jī)流程簡(jiǎn)介

四庆猫、忘記密碼的救援/單用戶模式

centos6，參考：https://www.cnblogs.com/xiaoluo501395377/archive/2013/05/19/3087664.html

centos7绅络，參考：https://www.cnblogs.com/zhangjianghua/p/6094496.html