linux系统日志清理
主要的日志子系统:
1.连接时间日志--由多个程序执行,把记录写入到/v a r/l o g/w t m p和
/v a r/r u n/u t m p,l o g i n等程序更新w t m p和u t m p文件,使系统管理员能够跟踪谁在何时登录到系统。
2.进程统计--由系统内核执行。当一个进程终止时,为每个进程往进程统计文件(p a c c t或a c c t)中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。
3.错误日志--由s y s l o g d(8)执行。各种系统守护进程、用户程序和内核通过
s y s l o g(3)向文件/v a r/l o g/m e s s a g e s报告值得注意的事件。另外有许多U N I X 程序创建日志。像H T T P和F T P这样提供网络服务的服务器也保持详细的日志。
常用的日志文件如下:
a c c e s s-l o g纪录H T T P/w e b的传输
a c c t/p a c c t纪录用户命令
a c u l o g纪录M O D E M的活动
b t m p纪录失败的纪录
l a s t l o g纪录最近几次成功登录的事件和最后一次不
成功的登录
m e s s a g e s从s y s l o g中记录信息(有的链接到s y s l o g 文件)
s u d o l o g纪录使用s u d o发出的命令
s u l o g纪录使用s u命令的使用
s y s l o g从s y s l o g中记录信息(通常链接到m e s s a g e s 文件)
u t m p纪录当前登录的每个用户
w t m p一个用户每次登录进入和退出时间的永久纪录
x f e r l o g纪录F T P会话
直接删除日志:
1.删除所有的日志:f i n d/v a r-t y p e f-e x e c r m-v{}\;(最后的分号也是必须命令的一部分)
2.设置/e t c/l o g r o t a t e.d/s y s l o g文件控制日志文件的大小。
3.如果实在想自己手工清空某些日志文件的话,可以使用命
令:>/v a r/l o g/m e s s a g e。这个命令的功能是把文件m e s s a g e中的内容清空。也可以将此命令加入到c r o n任务中。
l i n u x详细日志解析:
u n i x系统日志文件通常是存放在"/v a r/l o g a n d /v a r/a d m"目录下的。通常我们可以查看s y s l o g.c o n f来看看日志配置的情况.如:c a t/e t c/s y s l o g.c o n f
其中s u n o s的在/v a r/l o g和/v a r/a d m下.还有/u s r/a d m为/v a r/a d m的链接.
r e d h a t的在/v a r/l o g和/v a r/r u n下.
下面的是s u n o s5.7中的日志样本.
#l s/v a r/a d m
a c c t l o g m e s s a g e s.1p a s s w d s u l o g
v o l d.l o g
a c u l o g m e s s a g e s m e s s a g e s.2s a u t m p w t m p
l a s t l o g m e s s a g e s.0m e s s a g e s.3s p e l l h i s t u t m p x w t m p x
#l s/v a r/l o g
a u t h l o g s y s l o g s y s l o g.1s y s l o g.3
s y s i d c o n f i g.l o g s y s l o g.0s y s l o g.2s y s l o g.4
下面的是r e d h a t6.2中的日志样本.
#l s/v a r/l o g
b o o t.l o g d m e s g m e s s a g e s.2s e
c u r e u u c p
b o o t.l o g.1h t m l a
c c e s s.l o g m e s s a g e s.3s e c u r e.1w t m p
b o o t.l o g.2h t t p d m e s s a g e s.4s e
c u r e.2w t m p.1
b o o t.l o g.3l a s t l o g n e t
c o n f.l o g s e c u r e.3x f e r l o g
b o o t.l o g.4m a i l l l o g n e t
c o n f.l o g.1s e c u r e.4x f e r l o g.1
c r o n m a i l l o g n e t c o n f.l o g.2s e n
d m a i l.s t x f
e r l o g.2
c r o n.1m a i l l o g.1n e t c o n f.l o g.3s p o o l e r
x f e r l o g.3
c r o n.2m a i l l o g.2n e t c o n f.l o g.4s p o o l e r.1
x f e r l o g.4
c r o n.3m a i l l o g.3n e w s s p o o l e r.2
c r o n.4m a i l l o g.4n o r m a l.l o g s p o o l e r.3
d a i l y.l o g m
e s s a g e s r e a l t i m e.l o g s p o o l e r.4
d a i l y.s h m
e s s a g e s.1s a m b a t r a n s
f e r.l o g
#l s/v a r/r u n
a t d.p i d g p m.p i d k l o g d.p i d r a n d o m-s e e d t r e e m e n u.c a c h e c r o n d.p i d i d e n t d.p i d n e t r e p o r t r u n l e v e l.d i r u t m p
f t p.p i d s-a l l i n e t d.p i d n e w s s y s l o
g d.p i d
一般我们要清除的日志有
l a s t l o g
u t m p(u t m p x)
w t m p(w t m p x) m e s s a g e s
s y s l o g