Linux 系統中的日誌檔案承載著系統運行狀態以及各種應用程式的運行信息,它們對於系統診斷與錯誤調試至關重要。因此,學習如何閱讀和分析 Linux 日誌檔案是每個 Linux 使用者必須掌握的技能。本文將向您介紹 Linux 日誌檔案的類型、格式和常見的閱讀方法,幫助您輕鬆了解和解決系統問題。
日誌的三種類型
這種日誌資料由系統服務rsyslog統一管理,根據其主設定檔/etc/rsyslog.conf中的設定決定將核心訊息及各種系統程式訊息記錄到什麼位置。系統中有相當一部分程式會把自己的日誌檔案交由rsyslog管理,因而這些程式所使用的日誌記錄也具有相似的格式。
這種日誌資料用於記錄Linux作業系統使用者登入及登出系統的相關信息,包括使用者名稱、登入的終端、登入時間、來源主機、正在使用的進程操作等。
有些應用程式會選擇由自己獨立管理一份日誌檔案(而不是交給rsyslog服務管理),用於記錄本程式執行過程中的各種事件資訊。由於這些程式只負責管理自己的日誌文件,因此不同程式所使用的日誌記錄格式可能會有較大的差異。
常見的日誌檔案
##| 路徑 | #說明 |
|---|---|
| /var/log/messages | 記錄 Linux 核心訊息及各種應用程式的公共日誌資訊 |
| /var/log/cron | 記錄 crond 計畫任務產生的事件資訊 |
| /var/log/dmesg | 記錄 Linux 作業系統在引導過程中的各種事件資訊 |
| /var/log/maillog | #記錄進入或發出系統的電子郵件活動 |
| /var/log/lastlog | 記錄每個使用者最近的登入事件 |
| /var/log/secure | 記錄使用者認證相關的安全事件資訊 |
| /var/log/wtmp | 記錄每個使用者登入、登出及系統啟動和停機事件 |
| /var/log/btmp | 記錄失敗的、錯誤的登入嘗試及驗證事件 |
日誌的優先順序
#「
#數字等級越小,優先順序越高,訊息越重要。
”
| 等級 | 英文單字 | 中文釋義 | 說明 |
|---|---|---|---|
| 0 | EMERG | 緊急 | 會導致主機系統無法使用的情況 |
| 1 | ALERT | 警告 | 必須馬上採取措施解決的問題 |
| 2 | CRIT | 嚴重 | 比較嚴重的情況 |
| 3 | ERR | 錯誤 | 運行出現錯誤 |
| 4 | WARNING | 提醒 | 可能影響系統功能,需要提醒使用者的重要事件 |
| 5 | NOTICE | 注意 | 不會影響正常功能,但需要注意的事件 |
| 6 | INFO | 資訊 | 一般資訊 |
| 7 | DEBUG | 偵錯 | 程式或系統偵錯資訊等 |
使用者日誌相關指令
#users
##users指令只是簡單地輸出目前登入的使用者名稱,每個顯示的使用者名稱對應一個登入工作階段。如果一個使用者有不只一個登入會話,那麼他的使用者名稱將顯示與其相同的次數。 [root@localhost ~]# users root
who
##who指令用於報告目前登入系統中的每個使用者的資訊。使用該命令,系統管理員可以查看目前系統存在哪些不合法用戶,從而對其進行審計和處理。 who的預設輸出包括使用者名稱、終端類型、登入日期及遠端主機。 [root@localhost ~]# who root pts/0 2019-09-06 23:56 (192.168.28.1)
w
#w指令用於顯示目前系統中的每個使用者及其所執行的進程訊息,比users、who指令的輸出內容要豐富一些。 23:57:33 up 4 min, 1 user, load average: 0.02, 0.18, 0.11 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 192.168.28.1 23:56 5.00s 0.11s 0.02s w
last
#last指令用於查詢成功登入系統的使用者記錄,最近的登入情況將顯示在最前面。透過last指令可以及時掌握Linux主機的登入情況,若發現未經授權的使用者登入過,則表示目前主機可能已被入侵。 [root@localhost ~]# last root pts/0 192.168.28.1 Fri Sep 6 23:56 still logged in reboot system boot 3.10.0-693.el7.x Fri Sep 6 23:52 - 23:58 (00:05) ll :0 :0 Wed Sep 4 14:09 - crash (00:07) reboot system boot 3.10.0-693.el7.x Wed Sep 4 14:06 - 14:24 (00:18) wtmp begins Wed Sep 4 14:06:18 2019
lastb
##lastb指令用於查詢登入失敗的使用者記錄,如登入的使用者名稱錯誤、密碼不正確等情況都會記錄在案。登入失敗的情況屬於安全事件,因為這表示可能有人在嘗試猜解你的密碼。 [root@localhost ~]# lastb ll ssh:notty 192.168.28.1 Sat Sep 7 00:01 - 00:01 (00:00) ll :0 :0 Fri Sep 6 23:59 - 23:59 (00:00) btmp begins Fri Sep 6 23:59:42 2019
在本文中,我們介紹了三種常見的 Linux 日誌檔案類型,包括系統日誌、應用程式日誌和安全日誌,並詳細描述了它們的格式和記錄內容。同時,我們也討論如何使用命令列工具和日誌檢視器來分析和閱讀日誌檔案。相信您已經了解如何處理Linux系統中的日誌檔案了。如果您有任何疑問或建議,請在評論區留言,我們將竭誠為您解答。
以上是掌握 Linux 日誌分析技巧:從格式到分析全面學習的詳細內容。更多資訊請關注PHP中文網其他相關文章!
