这篇文章主要介绍Linux中日志的示例分析,文中介绍的非常详细,具有一定的参考价值,感兴趣的小伙伴们一定要看完!


日志的三种类型#
内核及系统日志:

这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中有相当一部分程序会把自己的日志文件交由rsyslog管理,因而这些程序使用的日志记录也具有相似的格式。

用户日志:

这种日志数据用于记录Linux操作系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。

程序日志:

有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件信息。由于这些程序只负责管理自己的日志文件,因此不同程序所使用的日志记录格式可能会存在较大的差异。

常见的日志文件#
路径说明/var/log/messages记录 Linux 内核消息及各种应用程序的公共日志信息/var/log/cron记录 crond 计划任务产生的事件信息/var/log/dmesg记录 Linux 操作系统在引导过程中的各种事件信息/var/log/maillog记录进入或发出系统的电子邮件活动/var/log/lastlog记录每个用户最近的登录事件/var/log/secure记录用户认证相关的安全事件信息/var/log/wtmp记录每个用户登录、注销及系统启动和停机事件/var/log/btmp记录失败的、错误的登录尝试及验证事件
日志的优先级别#

数字等级越小,优先级越高,消息越重要。

级别英文单词中文释义说明0EMERG紧急会导致主机系统不可用的情况1ALERT警告必须马上采取措施解决的问题2CRIT严重比较严重的情况3ERR错误运行出现错误4WARNING提醒可能影响系统功能,需要提醒用户的重要事件5NOTICE注意不会影响正常功能,但是需要注意的事件6INFO信息一般信息7DEBUG调试程序或系统调试信息等
用户日志相关命令#

users#

users命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。

[root@localhost~]#usersroot

who#

who命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who的默认输出包括用户名、终端类型、登录日期及远程主机。

[root@localhost~]#whorootpts/02019-09-0623:56(192.168.28.1)

w#

w命令用于显示当前系统中的每个用户及其所运行的进程信息,比userswho命令的输出内容要丰富一些。

23:57:33up4min,1user,loadaverage:0.02,0.18,0.11USERTTYFROMLOGIN@IDLEJCPUPCPUWHATrootpts/0192.168.28.123:565.00s0.11s0.02sw

last#

last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last命令可以及时掌握Linux主机的登录情况,若发现未经授权的用户登录过,则表示当前主机可能已被入侵。

[root@localhost~]#lastrootpts/0192.168.28.1FriSep623:56stillloggedinrebootsystemboot3.10.0-693.el7.xFriSep623:52-23:58(00:05)ll:0:0WedSep414:09-crash(00:07)rebootsystemboot3.10.0-693.el7.xWedSep414:06-14:24(00:18)wtmpbeginsWedSep414:06:182019

lastb#

lastb命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。

[root@localhost~]#lastbllssh:notty192.168.28.1SatSep700:01-00:01(00:00)ll:0:0FriSep623:59-23:59(00:00)btmpbeginsFriSep623:59:422019

以上是“Linux中日志的示例分析”这篇文章的所有内容,感谢各位的阅读!希望分享的内容对大家有帮助,更多相关知识,欢迎关注亿速云行业资讯频道!