Linux日志文件-----utmp,wtmp,lastlog,messages

如何查看配置Ubuntu和Centos的系统日志内容来源于PPPCloud官网教程介绍Linux系统管理员经常需要查看日志文件用于故障诊断。

事实上,这是任何系统管理员都将做的第一件事。

在本教程中,我们将看看Linux日志记录机制。

默认文件位置默认的日志文件位置：在Linux默认位置是/var/log日志文件。

您可以用一个简单的ls - l /var/log命令查看日志文件的目录列表。

查看文档内容下面是一些常见的日志文件,他们都在默认的log路径下面• wtmp最后一个命令告诉我们登录用户的历史:Syslog守护进程日志的核心机制是rsyslog守护进程，这个服务负责各个部分的的日志信息的收集和传递。

它还可以日志消息转发到另一个Linux服务器。

rsyslog配置文件此守护进程会从rsyslog.conf文件获取配置信息，这个文件一般默认在/etc下面。

这个配置文件会告诉rsylog守护进程哪里去存储日志。

这里是一个CentOS rsyslog摘录。

配置文件:• debug: 来源于项目的调试信息。

•• info: 简单的信息消息——不需要干预•• notice: 可能需要关注的条件•• warn:警告•• err: 错误•• crit: 临界条件•• alert: 条件是需要立即干预•• emerg: 紧急情况•现在让我们考虑下面的从文件中取出的行。

同样,如果我们想从陷阱邮件子系统除了信息消息,该规范将像下面这样在接下来的例子中,我添加两个新行在CentOS的系统配置文件rsyslog.conf。

默认情况下,日志文件是旋转每周有四个剩余积压在线在任何时候。

当程序运行时,将生成一个新的、空的日志文件和旧将被压缩。

他唯一的例外是wtmp和btmp文件。

wtmp跟踪系统登录和btmp跟踪坏的登录尝试。

如果任何wtmp 或btmp文件可以找到，这些日志文件都是每月旋转。

自定义日志保存在etc / logrotate旋转配置目录。

Linux系统中⽇志级别详情⽇志信息分类1.等级由低到⾼：debug<info<warn<Error<Fatal;2.区别：debug 级别最低，可以随意的使⽤于任何觉得有利于在调试时更详细的了解系统运⾏状态的东东；info 重要，输出信息：⽤来反馈系统的当前状态给最终⽤户的；后三个，警告、错误、严重错误，这三者应该都在系统运⾏时检测到了⼀个不正常的状态。

warn, 可修复，系统可继续运⾏下去；Error, 可修复性，但⽆法确定系统会正常的⼯作下去;Fatal, 相当严重，可以肯定这种错误已经⽆法修复，并且如果系统继续运⾏下去的话后果严重。

3.使⽤什么时候使⽤ info, warn , error ?info ⽤于打印程序应该出现的正常状态信息，便于追踪定位；warn 表明系统出现轻微的不合理但不影响运⾏和使⽤；error 表明出现了系统错误和异常，⽆法正常完成⽬标操作。

4.格式总结起来，错误⽇志格式可以为：log.error(“[接⼝名或操作名] [Some Error Msg] happens. [params] [Probably Because]. [Probably need to do].”);log.error(String.format(“[接⼝名或操作名] [Some Error Msg] happens. [%s]. [Probably Because]. [Probably need to do].”, params));或log.error(“[Some Error Msg] happens to 错误参数或内容 when [in some condition]. [Probably Because]. [Probably need to do].”);log.error(String.format(“[Some Error Msg] happens to %s when [in some condition]. [Probably Because]. [Probably need to do].”, parameters));[Probably Reason]. [Probably need to do]. 在某些情况下可以省略；在⼀些重要接⼝和场景下最好能说明⼀下。

Linux系统的LOG日志文件及入侵后日志的清除UNIX网管员主要是靠系统的LOG,来获得入侵的痕迹.当然也有第三方工具记录入侵系统的痕迹,UNIX系统存放LOG文件,普通位置如下:/usr/adm - 早期版本的UNIX/var/adm - 新一点的版本使用这个位置/var/log - 一些版本的Solaris,linux BSD,Free BSD使用这个位置/etc - 多数UNIX版本把utmp放在这里，有些也把wtmp放在这里，syslog.conf在这里下面的一些文件根据你所在的目录不同而不同：acct 或pacct -- 记录每个用户使用的命令记录access_log -- 主要当服务器运行NCSA HTTPD时, 记录什么站点连接过你的服务器aculog -- 保存着你拨出去的MODEMS记录lastlog -- 记录了用户最近的LOGIN记录和每个用户的最初目的地，有时是最后不成功LOGIN的记录,当一个用户登陆到unix系统，注册程序在lastlog文件中查找该用户的uid，如果该程序找到了该用户的uid，unix就会显示最后一次登陆的时间和tty（终端号）loginlog -- 记录一些不正常的LOGIN记录messages -- 记录输出到系统控制台的记录，另外的信息由syslog来生成security -- 记录一些使用UUCP系统企图进入限制范围的事例sulog -- 记录使用su命令的记录．它通常在/var/adm/sulog．如果你在机器上使用了su命令，别忘了清除哦．utmp -- 记录当前登录到系统中的所有用户，这个文件伴随着用户进入和离开系统而不断变化.它还会为系统中的用户保持很长的历史记录，utmp日志通常存放在/var/adm/utmp目录下．可以用w和who命令查看，其他命令也可以访问这个文件．如：finger root就可以．现在的utmp一般都有utmpx文件作为日志记录的补充．utmpx -- UTMP的扩展wtmp -- 记录用户登录和退出事件．它和utmp日志文件相似，但它随着登陆次数的增加，它会变的越来越大，有些系统的ftp访问也在这个文件里记录，同时它也记录正常的系统退出时间,可以用ac和last命令访问．syslog -- 最重要的日志文件，使用syslogd守护程序来获得日志信息，通常情况下通过查看/etc/syslog.conf．我们可以知道syslog记录些什么．缺省时，它把大多的消息传给/var/adm/message．/dev/log -- 一个UNIX域套接字，接受在本地机器上运行的进程所产生的消息/dev/klog -- 一个从UNIX内核接受消息的设备514端口-- 一个INTERNET套接字，接受其他机器通过UDP产生的syslog消息。

Centos下重要日志文件及查看方式(2014-01-02 12:56:34)转载▼1、Linux下重要日志文件介绍/var/log/boot.log该文件记录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息，如图1所示：图1 /var/log/boot.log示意/var/log/cron该日志文件记录crontab守护进程crond所派生的子进程的动作，前面加上用户、登录时间和PID，以及派生出的进程的动作。

CMD的一个动作是cron派生出一个调度进程的常见情况。

REPLACE(替换)动作记录用户对它的cron文件的更新，该文件列出了要周期性执行的任务调度。

RELOAD动作在REPLACE动作后不久发生，这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。

该文件可能会查到一些反常的情况。

该文件的示意请见图2：图2 /var/log/cron文件示意/var/log/maillog该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。

它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。

图3所示是该日志文件的片段：图3 /var/log/maillog文件示意该文件的格式是每一行包含日期、主机名、程序名，后面是包含PID或内核标识的方括号、一个冒号和一个空格，最后是消息。

该文件有一个不足，就是被记录的入侵企图和成功的入侵事件，被淹没在大量的正常进程的记录中。

但该文件可以由/etc/syslog文件进行定制。

由/etc /syslog.conf配置文件决定系统如何写入/var/messages。

/var/log/syslog默认Fedora不生成该日志文件，但可以配置/etc/syslog.conf让系统生成该日志文件。

它和/etc/log/messages日志文件不同，它只记录警告信息，常常是系统出问题的信息，所以更应该关注该文件。

Linux的last命令用于显示近期用户或终端的登录情况，其使用权限是所有用户。

通过last命令，管理员可以获知谁曾经或企图连接系统。

具体使用方法如下：
1.显示所有用户的登录记录：
2.显示特定用户的登录记录：
3.显示最近的N条登录记录：
4.显示登录记录的详细信息：
通过使用“-f”选项，可以指定读取的日志文件，从而查看更详细的登录信息。

此外，last命令还有许多其他参数，例如-R（省略hostname栏位）、-n（指定输出
记录的条数）、-t（只显示指定的虚拟控制台上的登录情况）、-h（只显示指定的节点上的登录情况）等。

除了查看登录记录，last命令还有助于管理员监控用户的活动，特别是对于敏感操作和关键账户的审计。

通过检查登录记录，可以及时发现异常活动并采取相应措施。

此外，对于安全审计需求，last命令是一项重要的工具，可以记录用户的登录和注销信息，并提供详细的时间戳和登录来源，有助于分析和跟踪用户的活动轨迹。

Linux⽤户登录⽇志查询# 1 utmp、wtmp、btmp⽂件Linux⽤户登录信息放在三个⽂件中：1 /var/run/utmp：记录当前正在登录系统的⽤户信息，默认由who和w记录当前登录⽤户的信息，uptime记录系统启动时间；2 /var/log/wtmp：记录当前正在登录和历史登录系统的⽤户信息，默认由last命令查看；3 /var/log/btmp：记录失败的登录尝试信息，默认由lastb命令查看。

这三个⽂件都是⼆进制数据⽂件，并且三个⽂件结构完全相同，是由/usr/include/bits/utmp.h⽂件定义了这三个⽂件的结构体。

默认情况下⽂件的⽇志信息会通过logrotate⽇志管理⼯具定期清理。

logrotate的配置⽂件是/etc/logrotate.conf，此处是logrotate的缺省设置，通常不需要对它进⾏修改。

⽇志⽂件的轮循压缩等设置存放在独⽴的配置⽂件中，它（们）放在/etc/logrotate.d/⽬录下，它会覆盖缺省设置。

如果不想记录相关信息，则可以直接将相关⽂件删除即可。

如果系统不存在该⽂件，则需要在此路径touch⼀个⽂件就可以继续记录相关信息了。

此外：如果想禁⽤who命令，则只需要将utmp的可读权限去掉就⾏，这样⾮root⽤户就不能⽤此命令了；如果是btmp⽂件，⼿⼯创建的话注意权限必须为600，否则不能正确写⼊信息。

# 2 相关命令介绍好了，下⾯开始介绍查看这三个⽇志⽂件的命令了。

分别是lastlog、last、lastb、ac、who、w、users、utmpdump。

其中last、lastb、who、utmpdump可以通过指定参数⽽查看三个中的任意⼀个⽂件。

列出所有⽤户最近登录的信息，或者指定⽤户的最近登录信息。

lastlog引⽤的是/var/log/lastlog⽂件中的信息，包括login-name、port、last login timelzx-clone1:/var/log # lastlogUsername Port Latestroot pts/1 Wed Oct 19 14:37:46 +0800 2016bin **Never logged in**daemon **Never logged in**gdm **Never logged in**admin **Never logged in**lzx pts/3 Wed Oct 19 15:15:24 +0800 2016列出当前和曾经登⼊系统的⽤户信息，它默认读取的是/var/log/wtmp⽂件的信息。