在Linux系统中,有三个主要的日志子系统:
1.连接时间日志登陆系统的时间和IP 记录文件:/var/log/wtmp和/var/run/utmp,login
auth.log / secure SSH登录日志auth.log: 会记录ssh登陆的IP和端口
cat auth.log |grep AcceptedSSH登录日志 : secure(CentOS)或者auth.log(Ubuntu)
https://blog.51cto.com/winhe/2114533
2.进程统计由系统内核执行,当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录,进程统计的目的是为系统中的基本服务提供命令使用统计。
当用户发现最近服务器有异常时,可以开启进程监视统计功能,所有记录信息会写入/var/log/account/pacct和/var/log/account/acct中启动:accton /var/log/account/pacct或者accton on显示进程统计:lastcomm停止进程统计:acctonsa |more 用于报告,清理并维护进程统计日志,将/var/account/pacct的日志文件压缩到/var/log/savacc和/var/log/usracc文件中,其中savacc是基于命令名称索引的,而usracc基于用户名进行索引的其中re:实例时间,分钟为单位 CP:表示系统和用户的使用时间,分钟为单位sa -u |grep root|more显示root用户的进程数和使用命令所占用CPU及系统的时间sa -m 显示每个用户的进程数量和CPU数lastcomm sa -u sa -m
3.错误日志由syslogd(8)执行。各种系统守护进程、用户程序和内核通过syslog(3)向文件/var/log/messages报告值得注意的事件。
其他日志其他程序如中间件、FTP 也会生成日志,常用的日志文件如下:
access.log 记录HTTP/web的传输acct/pacct 纪录用户命令aculog 纪录MODEM的活动messages 从syslog中记录信息(有的