Linux系統日志的組成
主要的日志子系統:
1.連接時間日志--由多個程序執行,把記錄寫入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系統管理員能夠跟蹤誰在何時登錄到系統。
2.進程統計--由系統內核執行。當一個進程終止時,為每個進程往進程統計文件(pacct或acct)中寫一個紀錄。進程統計的目的是為系統中的基本服務提供命令使用統計。
3.錯誤日志--由syslogd(8)執行。各種系統守護進程、用戶程序和內核通過syslog(3)向文件/var/log/messages報告值得注意的事件。另外有許多UNIX程序創建日志。像HTTP和FTP這樣提供網絡服務的服務器也保持詳細的日志。
www.2cto.com
常用的日志文件如下:
access-log 記錄HTTP/web的傳輸
acct/pacct 記錄用戶命令
aculog 記錄MODEM的活動
btmp 記錄失敗的紀錄
lastlog 記錄最近幾次成功登錄的事件和最後一次不成功的登錄
messages 從syslog中記錄信息(有的鏈接到syslog文件)
sudolog 紀錄使用sudo發出的命令
sulog 紀錄使用su命令的使用
syslog 從syslog中記錄信息(通常鏈接到messages文件)
utmp 紀錄當前登錄的每個用戶
wtmp 一個用戶每次登錄進入和退出時間的永久紀錄
xferlog 紀錄FTP會話
直接刪除日志:
1. 刪除所有的日志:find /var -type f -exec rm -v {} \;(最後的分號也是必須命令的一部分)
2. 設置/etc/logrotate.d/syslog文件控制日志文件的大小。
3. 如果實在想自己手工清空某些日志文件的話, 可以使用命令:> /var/log/message。這個命令的功能是把文件message中的內容清空。 也可以將此命令加入到cron任務中。
linux詳細日志解析:
unix系統日志文件通常是存放在"/var/log and /var/adm"目錄下的。通常我們可以查看syslog.conf來看看日志配置的情況.如:cat /etc/syslog.conf
其中sunos的在/var/log和/var/adm下.還有/usr/adm為/var/adm的鏈接.
www.2cto.com
redhat的在/var/log 和 /var/run下.
下面的是sun os5.7中的日志樣本.
# ls /var/adm
acct log messages.1 passwd sulog vold.log
aculog messages messages.2 sa utmp wtmp
lastlog messages.0 messages.3 spellhist utmpx wtmpx
# ls /var/log
authlog syslog syslog.1 syslog.3
sysidconfig.log syslog.0 syslog.2 syslog.4
下面的是redhat6.2中的日志樣本.
www.2cto.com
# ls /var/log
boot.log dmesg messages.2 secure uucp
boot.log.1 htmlaccess.log messages.3 secure.1 wtmp
boot.log.2 httpd messages.4 secure.2 wtmp.1
boot.log.3 lastlog netconf.log secure.3 xferlog
boot.log.4 mailllog netconf.log.1 secure.4 xferlog.1
cron maillog netconf.log.2 sendmail.st xferlog.2
cron.1 maillog.1 netconf.log.3 spooler xferlog.3
cron.2 maillog.2 netconf.log.4 spooler.1 xferlog.4
cron.3 maillog.3 news spooler.2
cron.4 maillog.4 normal.log spooler.3
daily.log messages realtime.log spooler.4
daily.sh messages.1 samba transfer.log
# ls /var/run
atd.pid gpm.pid klogd.pid random-seed treemenu.cache
www.2cto.com
crond.pid identd.pid netreport runlevel.dir utmp
ftp.pids-all inetd.pid news syslogd.pid
一般我們要清除的日志包括如下:
lastlog
utmp(utmpx)
wtmp(wtmpx)
messages
syslog
作者 wuweilong