Linux中常见的日志文件和命令

来源：中国Linux论坛作者：出处：巧巧读书 2007-07-20 进入讨论组

讨论组：http://group.qqread.com

　　/var/log/syslog
　　默认RedHat Linux不生成该日志文件，但可以配置/etc/syslog.conf让系统生成该日志文件。它和/etc/log/messages日志文件不同，它只记录警告信息，常常是系统出问题的信息，所以更应该关注该文件。要让系统生成该日志文件，在/etc/syslog.conf文件中加上：*.warning /var/log/syslog 　　该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息。下面是一条记录：

Sep 6 16:47:52 UNIX login(pam_unix)[2384]:
check pass; user unknown /var/log/secure
该日志文件记录与安全相关的信息。该日志文件的部分内容如下：
Sep 4 16:05:09 UNIX xinetd[711]:
START: ftp pid=1815 from=127.0.0.1 Sep 4 16:05:09 UNIX xinetd[1815]:
USERID: ftp OTHER :root Sep 4 16:07:24 UNIX xinetd[711]:
EXIT: ftp pid=1815 duration=135(sec) Sep 4 16:10:05
UNIX xinetd[711]:
START: ftp pid=1846 from=127.0.0.1 Sep 4 16:10:05
UNIX xinetd[1846]:
USERID: ftp OTHER :root Sep 4 16:16:26 UNIX xinetd[711]:
EXIT: ftp pid=1846 duration=381(sec) Sep 4 17:40:20
UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2 /var/log/lastlog

　　该日志文件记录最近成功登录的事件和最后一次不成功的登录事件，由login生成。在每次用户登录时被查询，该文件是二进制文件，需要使用lastlog命令查看，根据UID排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过，就显示为"**Never logged in**"。该命令只能以root权限执行。简单地输入lastlog命令后就会看到类似如下的信息：

Username        Port     From          Latest
root             tty2                    Tue Sep  3 08:32:27 +0800 2002
bin                                      **Never logged in**
daemon                                  **Never logged in**
adm                                     **Never logged in**
lp                                       **Never logged in**
sync                                     **Never logged in**
shutdown                                **Never logged in**
halt                                     **Never logged in**
mail                                     **Never logged in**
news                                    **Never logged in**
uucp                                    **Never logged in**
operator                                 **Never logged in**
games                                   **Never logged in**
gopher                                  **Never logged in**
ftp              ftp      UNIX          Tue Sep  3 14:49:04 +0800 2002
nobody                                  **Never logged in**
nscd                                     **Never logged in**
mailnull                                 **Never logged in**
ident                                   **Never logged in**
rpc                                     **Never logged in**
rpcuser                                 **Never logged in**
xfs                                     **Never logged in**
gdm                                    **Never logged in**
postgres                                 **Never logged in**
apache                                  **Never logged in**
lzy              tty2                    Mon Jul 15 08:50:37 +0800 2002
suying           tty2                    Tue Sep  3 08:31:17 +0800 2002

　　系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录，如果发现这些账户已经登录，就说明系统可能已经被入侵了。若发现记录的时间不是用户上次登录的时间，则说明该用户的账户已经泄密了。

　　/var/log/wtmp

　　该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。因此随着系统正常运行时间的增加，该文件的大小也会越来越大，增加的速度取决于系统用户登录的次数。该日志文件可以用来查看用户的登录记录，last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端 tty或时间显示相应的记录。

　　命令last有两个可选参数：

　　last -u 用户名显示用户上次登录的情况。

　　last -t 天数显示指定天数之前的用户登录情况。