linuxlog目錄

⑴ linux裡面日誌放在哪個文件夾下

大部分Linux發行版默認的日誌守護進程為 syslog，位於 /etc/syslog 或 /etc/syslogd，默認配置文件為 /etc/syslog.conf，任何希望生成日誌的程序都可以向 syslog 發送信息。而Fedora、Ubuntu，、rhel6、centos6以上版本默認的日誌系統都是rsyslog，rsyslog是syslog的多線程增強版。Linux學習的話《Linux就該這么學》參考下

⑵ linux系統日誌在哪裡看

Linux 系統的各種日誌文件一般在 /var/log 子目錄下面。文件擴展名為 *.log，它們是文本文件，它們的詳細內容可以使用 cat 命令進行查看。

⑶ log文件指什麼Linux日誌文件有哪些

在Linux操作系統中，log文件代表著日誌文件，就是記錄系統活動信息的文件，比如：某時、某IP、某時間、進行的某種操作等。此外，在Linux系統中，我們還可以通過tail、cat、tac、head等命令來查看日誌，那麼Linux系統中log文件是什麼意思?本文為大家詳細解答一下。

Linux系統中log文件是什麼意思?

在Linux中，log文件是指日誌文件，是重要的系統信息文件，其中記錄了許多重要的系統事件，包括用戶的登錄信息、系統的啟動信息、系統的安全信息、郵件相關信息、各種服務相關信息等。這些信息有些非常敏感，所以在Linux中這些日誌文件只有root用戶可以讀取。

log文件存放在/var/log/目錄下，該目錄是系統日誌文件的保存位置;除此之外，採用RPM包方式安裝的系統服務也會默認把日誌記錄在/var/log/目錄中。

Linux日誌文件說明

①/var/log/messages：該文件記錄著伺服器系統發生的所有錯誤信息或重要的信息，所以這個文件相當重要，如果系統發生莫名的錯誤時，這個文件是必查的日誌文件之一。

②/var/log/secure：該文件記錄伺服器牽扯到需要輸入賬號密碼的軟體，當登入時都會被記錄到這個文件中，包括系統的login程序、圖形界面登入所使用的gdm程序、su、sudo等程序，還有網路遠程的ssh、telnet等程序，登入信息都會被記載。

③/var/log/maillog：該文件記錄伺服器郵件的來往信息，其實主要記錄SMTP和POP3協議提供者所產生的信息。

④/var/log/cron：與定時任務相關的日誌信息。

⑤/var/log/spooler：與UUCP和news設備相關的日誌信息。

⑥/var/log/boot.log：守護進程啟動和停止相關的日誌信息。

⑦/var/log/wtmp：該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。

⑷ linux中日誌文件存在哪裡

日誌文件通常保存在/var/log目錄下。

下面是幾個重要的日誌文件：

/var/log/messages：包括整體系統信息，其中也包含系統啟動期間的日誌。

/var/log/syslog：它和/etc/log/messages日誌文件不同，它只記錄警告信息，常常是系統出問題的信息。

/var/log/user.log：記錄所有等級用戶信息的日誌。/var/log/auth.log：包含系統授權信息，包括用戶登錄和使用的許可權機制等。

(4)linuxlog目錄擴展閱讀：

日誌文件分為事件日誌和消息日誌。

事件日誌

事件日誌記錄在系統的執行中發生的事件，以便提供可用於理解系統的活動和診斷問題的跟蹤。 它們對理解復雜系統的活動至關重要，特別是在用戶交互較少的應用程序中。

它還可以用於組合來自多個源的日誌文件條目。 這種方法與統計分析相結合，可以產生不同伺服器上看起來不相關的事件之間的相關性。 其他解決方案採用網路范圍的查詢和報告。

消息日誌

互聯網中繼聊天（IRC），即時消息（IM）程序，具有聊天功能的對等文件共享客戶端和多人游戲（特別是MMORPG）通常具有自動記錄（即保存）文本通信的能力。

消息日誌幾乎是通用的純文本文件，但是IM和VoIP客戶端（其支持文本聊天，例如Skype）可以將它們保存在HTML文件中或以自定義格式以便於閱讀和加密。

參考資料：網路——日誌文件

⑸ Linux的日誌文件放在哪個目錄下

RedHat Linux常見的日誌文件詳述如下

◆/var/log/boot.log

該文件記錄了系統在引導過程中發生的事件，就是Linux系統開機自檢過程顯示的信息。

◆/var/log/cron

該日誌文件記錄crontab守護進程crond所派生的子進程的動作，前面加上用戶、登錄時間和PID，以及派生出的進程的動作。

CMD的一個動作是cron派生出一個調度進程的常見情況。

REPLACE（替換）動作記錄用戶對它的cron文件的更新，該文件列出了要周期性執行的任務調度。

RELOAD動作在REPLACE動作後不久發生，這意味著cron注意到一個用戶的cron文件被更新而cron需要把它重新裝入內存。

該文件可能會查到一些反常的情況。

◆/var/log/maillog

該日誌文件記錄了每一個發送到系統或從系統發出的電子郵件的活動。

它可以用來查看用戶使用哪個系統發送工具或把數據發送到哪個系統。

該文件的格式是每一行包含日期、主機名、程序名，後面是包含PID或內核標識的方括弧、一個冒號和一個空格，最後是消息。

該文件有一個不足，就是被記錄的入侵企圖和成功的入侵事件，被淹沒在大量的正常進程的記錄中。

但該文件可以由/etc/syslog文件進行定製。

由/etc/syslog.conf配置文件決定系統如何寫入/var/messages。

有關如何配置/etc/syslog.conf文件決定系統日誌記錄的行為，將在後面詳細敘述。

◆/var/log/syslog

默認RedHat Linux不生成該日誌文件，但可以配置/etc/syslog.conf讓系統生成該日誌文件。

它和/etc/log/messages日誌文件不同，它只記錄警告信息，常常是系統出問題的信息，所以更應該關注該文件。

要讓系統生成該日誌文件，在/etc/syslog.conf文件中加上：*.warning /var/log/syslog 該日誌文件能記錄當用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等信息。

該日誌文件記錄最近成功登錄的事件和最後一次不成功的登錄事件，由login生成。

在每次用戶登錄時被查詢，該文件是二進制文件，需要使用lastlog命令查看，根據UID排序顯示登錄名、埠號和上次登錄時間。

如果某用戶從來沒有登錄過，就顯示為"**Never logged in**"。

該命令只能以root許可權執行。

系統賬戶諸如bin、daemon、adm、uucp、mail等決不應該登錄，如果發現這些賬戶已經登錄，就說明系統可能已經被入侵了。

若發現記錄的時間不是用戶上次登錄的時間，則說明該用戶的賬戶已經泄密了。

◆/var/log/wtmp

該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。

因此隨著系統正常運行時間的增加，該文件的大小也會越來越大，增加的速度取決於系統用戶登錄的次數。

該日誌文件可以用來查看用戶的登錄記錄，last命令就通過訪問這個文件獲得這些信息，並以反序從後向前顯示用戶的登錄記錄，last也能根據用戶、終端 tty或時間顯示相應的記錄。

命令last有兩個可選參數：

last -u 用戶名 顯示用戶上次登錄的情況。

last -t 天數 顯示指定天數之前的用戶登錄情況。

◆/var/run/utmp

該日誌文件記錄有關當前登錄的每個用戶的信息。

因此這個文件會隨著用戶登錄和注銷系統而不斷變化，它只保留當時聯機的用戶記錄，不會為用戶保留永久的記錄。

系統中需要查詢當前用戶狀態的程序，如 who、w、users、finger等就需要訪問這個文件。

該日誌文件並不能包括所有精確的信息，因為某些突發錯誤會終止用戶登錄會話，而系統沒有及時更新 utmp記錄，因此該日誌文件的記錄不是百分之百值得信賴的。

以上提及的3個文件（/var/log/wtmp、/var/run/utmp、/var/log/lastlog）是日誌子系統的關鍵文件，都記錄了用戶登錄的情況。

這些文件的所有記錄都包含了時間戳。

這些文件是按二進制保存的，故不能用less、cat之類的命令直接查看這些文件，而是需要使用相關命令通過這些文件而查看。

其中，utmp和wtmp文件的數據結構是一樣的，而lastlog文件則使用另外的數據結構，關於它們的具體的數據結構可以使用man命令查詢。

每次有一個用戶登錄時，login程序在文件lastlog中查看用戶的UID。

如果存在，則把用戶上次登錄、注銷時間和主機名寫到標准輸出中，然後login程序在lastlog中記錄新的登錄時間，打開utmp文件並插入用戶的utmp記錄。

該記錄一直用到用戶登錄退出時刪除。

utmp文件被各種命令使用，包括who、w、users和finger。

下一步，login程序打開文件wtmp附加用戶的utmp記錄。

當用戶登錄退出時，具有更新時間戳的同一utmp記錄附加到文件中。

wtmp文件被程序last使用。

◆/var/log/xferlog

該日誌文件記錄FTP會話，可以顯示出用戶向FTP伺服器或從伺服器拷貝了什麼文件。

該文件會顯示用戶拷貝到伺服器上的用來入侵伺服器的惡意程序，以及該用戶拷貝了哪些文件供他使用。

該文件的格式為：第一個域是日期和時間，第二個域是下載文件所花費的秒數、遠程系統名稱、文件大小、本地路徑名、傳輸類型（a：ASCII，b：二進制）、與壓縮相關的標志或tar，或"_"（如果沒有壓縮的話）、傳輸方向（相對於伺服器而言：i代表進，o代表出）、訪問模式（a：匿名，g：輸入口令，r：真實用戶）、用戶名、服務名（通常是ftp）、認證方法（l：RFC931，或0），認證用戶的ID或"*"。

RedHat Linux默認沒有記錄該日誌文件。

要啟用該日誌文件，必須在/etc/syslog.conf文件中添加一行：kern.* /var/log/kernlog 。

這樣就啟用了向/var/log/kernlog文件中記錄所有內核消息的功能。

該文件記錄了系統啟動時載入設備或使用設備的情況。

一般是正常的操作，但如果記錄了沒有授權的用戶進行的這些操作，就要注意，因為有可能這就是惡意用戶的行為。

該日誌文件記錄了X-Window啟動的情況。

另外，除了/var/log/外，惡意用戶也可能在別的地方留下痕跡，應該注意以下幾個地方：root和其他賬戶的shell歷史文件；用戶的各種郵箱，如.sent、mbox，以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的郵箱；臨時文件/tmp、/usr/tmp、/var/tmp；隱藏的目錄；其他惡意用戶創建的文件，通常是以"."開頭的具有隱藏屬性的文件等。

⑹ Linux系統日誌怎麼查看

1. 前言

在Linux日常管理中，我們肯定有查看某些服務的日誌需求，或者是系統本身的日誌。本文主要介紹如何查看Linux的系統日誌，包括文件的路徑、工具的使用等等。會看Linux日誌是非常重要的，不僅在日常操作中可以迅速排錯，也可以快速的定位。

2. 如何查看Linux日誌

Linux日誌文件的路徑一般位於,/var/log/，比如ngix的日誌路徑為/var/log/nginx/，如果要查看某服務的日誌，還可以使用systemctl status xxx，比如查看ssh服務的壯態，systemctl status sshd

查看Linux某服務的日誌

Liunx的配置文件在/etc/rsyslog.d里，可以看到如下信息

在linux系統當中，有三個主要的日誌子系統：

1、連接時間日誌：由多個程序執行，把記錄寫入到/var/log/wtmp和/var/run/utmp，

login等程序會更新wtmp和utmp文件，使系統管理員能夠跟蹤誰在何時登錄到系統。

2、進程統計：由系統內核執行，當一個進程終止時，為每個進程往進程統計文件中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計

3、錯誤日誌：由rsyslogd守護程序執行，各種系統守護進程、用戶程序和內核通過rsyslogd守護程序向文件/var/log/messages報告值得注意的時間。另外有許多linux程序創建日誌，像HTTP和FTP這樣提供的伺服器也保持詳細的日誌。

4、其他日誌……

查看Linux日誌默認路徑

可以看到在/var/log目錄下存在很多的日誌文件，接下來就對裡面的一些常用日誌文件進行分析

主要日誌文件介紹：

內核及公共消息日誌:/var/log/messages

計劃任務日誌：/var/log/cron

系統引導日誌：/var/log/dmesg

郵件系統日誌:/var/log/maillog

用戶登錄日誌：/var/log/lastlog

/var/log/boot.log（記錄系統在引導過程中發生的時間）

/var/log/secure (用戶驗證相關的安全性事件)

/var/log/wtmp(當前登錄用戶詳細信息)

/var/log/btmp（記錄失敗的的記錄）

/var/run/utmp（用戶登錄、注銷及系統開、關等事件）

日誌文件詳細介紹：

/var/log/secure

Linux系統安全日誌，記錄用戶和工作組的情況、用戶登陸認證情況

例子：我創建了一個zcwyou的用戶，然後改變了該用戶的密碼，於是該信息就被記錄到該日誌下

Linux系統安全日誌默認路徑

該日誌就詳細的記錄了我操作的過程。

內核及公共信息日誌，是許多進程日誌文件的匯總，從該文件中可以看出系統任何變化

查看Linux內核及公共信息日誌

系統引導日誌

該日誌使用dmesg命令快速查看最後一次系統引導的引導日誌

查看Linux系統系統引導日誌

最近的用戶登錄事件，一般記錄最後一次的登錄事件

該日誌不能用諸如cat、tail等查看，因為該日誌裡面是二進制文件，可以用lastlog命令查看，它根據UID排序顯示登錄名、埠號（tty）和上次登錄時間。如果一個用戶從未登錄過，lastlog顯示 Never logged。

該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。該日誌為二進制文件，不能用諸如tail/cat/等命令，使用last命令查看。

記錄郵件的收發

此文件是記錄錯誤登錄的日誌，可以記錄有人使用暴力破解ssh服務的日誌。該文件用lastb打開

該日誌記錄當前用戶登錄的情況，不會永久保存記錄。可以用who/w命令來查看

3. 常用的日誌分析工具與使用方法

3.1 統計一個文本中包含字元個數

3.2 查看當天訪問排行前10的url

3.3 查看apache的進程數

3.4 訪問量前10的IP

cut部分表示取第1列即IP列，取第4列則為URL的訪問量

3.5 查看最耗時的頁面

按第2列響應時間逆序排序

3.6 使用grep查找文件中指定字元出現的次數

-o 指示grep顯示所有匹配的地方，並且每一個匹配單獨一行輸出。這樣只要統計輸出的行數就可以知道這個字元出現的次數了。

4. 總結

查看Linux日誌需求了解和熟悉使用一些常用的工具方能提升我們的查找和定位效率。比如使用 Grep 搜索，使用Tail命令，使用Cut，使用AWK 和 Grok 解析日誌和使用 Rsyslog 和 AWK 過濾等等，只要能掌握這些工具。我們才能高效地處理和定位故障點。

https://www.linuxrumen.com/rmxx/647.html

⑺ log是什麼文件

LOG設置就是日誌設置。

通常是系統或者某些軟體對已完成的某種處理的記錄，以便將來做為參考，它並沒有固定的格式，通常是文本文件，可以用記事本打開以查看內容，當然很可能是其它格式，直接打開就是亂碼。

大部分的log可以從文件名看出它的作用，比如uninstall.log或是error.log，當然前者通常是軟體安裝過程中生成的記錄，以便將來卸載的時候可以提供給卸載程序使用，後者通常是用來記錄一些軟體運行中的錯誤信息等等。

(7)linuxlog目錄擴展閱讀

網路設備、系統及服務程序等，在運作時都會產生一個叫log的事件記錄；每一行日誌都記載著日期、時間、使用者及動作等相關操作的描述。

Windows網路操作系統都設計有各種各樣的日誌文件，如應用程序日誌，安全日誌、系統日誌、Scheler服務日誌、FTP日誌、WWW日誌、DNS伺服器日誌等等，這些根據你的系統開啟的服務的不同而有所不同。

我們在系統上進行一些操作時，這些日誌文件通常會記錄下我們操作的一些相關內容，這些內容對系統安全工作人員相當有用。比如說有人對系統進行了IPC探測，系統就會在安全日誌里迅速地記下探測者探測時所用的IP、時間、用戶名等，用FTP探測後，就會在FTP日誌中記下IP、時間、探測所用的用戶名等。