第十章 日志文件管理

第十章日志文件管理本章學(xué)習(xí)目標(biāo)⊙ 查看日志文件⊙ 配置和管理系統(tǒng)日志10.1日志文件概述日志文件（logfile）：是包含關(guān)于系統(tǒng)消息的文件，包括內(nèi)核、服務(wù)、在系統(tǒng)上運(yùn)行的應(yīng)用程序等。主要功能：審計(jì)和監(jiān)測(cè)，實(shí)時(shí)的監(jiān)測(cè)系統(tǒng)狀態(tài)，監(jiān)測(cè)和追蹤侵入者等。在Linux系統(tǒng)中，三個(gè)主要的日志子系統(tǒng)：（1）連接時(shí)間日志（2）進(jìn)程統(tǒng)計(jì)（3）錯(cuò)誤日志10.1.1日志系統(tǒng)介紹10.1.2圖形化顯示日志查看系統(tǒng)日志文件：選擇“主菜單”—>“系統(tǒng)工具”—>“系統(tǒng)日志”程序終端下使用redhat-logviewer程序，如圖10-1所示。圖10-1系統(tǒng)日志界面圖10-2首選項(xiàng)下的日志文件標(biāo)簽圖10-3首選項(xiàng)下的警告標(biāo)簽10.2管理日志Syslog:記錄系統(tǒng)事件，寫到一個(gè)文件或設(shè)備中，或給用戶發(fā)送一個(gè)信息。能記錄本地事件或通過網(wǎng)絡(luò)記錄另一個(gè)主機(jī)上的事件。syslog設(shè)備兩個(gè)重要的文件：syslogd（守護(hù)進(jìn)程）和/etc/syslog.conf配置文件syslog.conf指明syslogd程序記錄日志的行為syslogd在啟動(dòng)時(shí)查詢配置文件syslog.conf

，如書上圖10-4所示。10.2.1syslog設(shè)備10.2.2日志文件介紹10.2.2.1/var/log/boot.log記錄了系統(tǒng)在引導(dǎo)過程中發(fā)生的事件，就是Linux系統(tǒng)開機(jī)自檢過程顯示的信息。10.2.2.2/var/log/cron記錄crontab守護(hù)進(jìn)程crond所派生的子進(jìn)程的動(dòng)作，前面加上用戶、登錄時(shí)間和PID，以及派生出的進(jìn)程的動(dòng)作。10.2.2.3/var/log/maillog記錄了每一個(gè)發(fā)送到系統(tǒng)或從系統(tǒng)發(fā)出的電子郵件的活動(dòng)。10.2.2.4/var/log/messages許多進(jìn)程日志文件的匯總10.2.2.5/var/log/lastlog記錄最近成功登錄的事件和最后一次不成功的登錄事件，由login生成。10.2.2.6/var/log/wtmp永久記錄每個(gè)用戶登錄、注銷及系統(tǒng)的啟動(dòng)、停機(jī)的事件。last也能根據(jù)用戶、終端tty或時(shí)間顯示相應(yīng)的記錄。命令last有兩個(gè)可選參數(shù)：last-u用戶名：顯示用戶上次登錄的情況。last-t天數(shù)：顯示指定天數(shù)之前的用戶登錄情況。10.2.2.7/var/run/utmp記錄有關(guān)當(dāng)前登錄的每個(gè)用戶的信息。10.2.2.8/var/log/kernlog默認(rèn)沒有記錄該日志文件。要啟用該日志文件，必須修改syslog配置文件中的一行：原文件內(nèi)容：#kern.* /dev/console修改后內(nèi)容：kern.* /var/log/kernlog這樣就啟用了向/var/log/kernlog文件中記錄所有內(nèi)核消息的功能。10.2.3查看二進(jìn)制日志每次有一個(gè)用戶登錄時(shí)，login程序在文件lastlog中查看用戶的UID。如果存在，則把用戶上次登錄、注銷時(shí)間和主機(jī)名寫到標(biāo)準(zhǔn)輸出中然后login程序在lastlog中記錄新的登錄時(shí)間，打開utmp文件并插入用戶的utmp記錄。該記錄一直用到用戶登錄退出時(shí)刪除。utmp文件：被各種命令使用，包括who、w、users和finger。下一步，login程序打開文件wtmp附加用戶的utmp記錄。當(dāng)用戶登錄退出時(shí)，具有更新時(shí)間戳的同一utmp記錄附加到文件中。wtmp文件：被程序last使用。10.2.3.1who命令查詢utmp文件并報(bào)告當(dāng)前登錄的每個(gè)用戶。who的命令格式：

who[參數(shù)][記錄文件]參數(shù)說明：命令中的選擇說明如書上表10-1所示記錄文件：可選，指明了/var/log/wtmp，這時(shí)，who命令查詢所有以前的記錄。10.2.3.2w命令查詢utmp文件并顯示當(dāng)前每個(gè)用戶和它所運(yùn)行的進(jìn)程信息w的命令格式：

w[參數(shù)][用戶賬號(hào)]命令的參數(shù)說明：命令中的選擇說明如表10-2所示用戶賬號(hào)：可選，指定所需要查看的用戶的信息10.2.3.3users命令users命令：用單獨(dú)的一行打印出當(dāng)前登錄的用戶，每個(gè)顯示的用戶名對(duì)應(yīng)一個(gè)登錄會(huì)話。如果一個(gè)用戶有不止一個(gè)登錄會(huì)話，那他的用戶名將顯示相同的次數(shù)。10.2.3.4last命令last命令：用來往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶。last的命令格式：

last[參數(shù)][用戶賬號(hào)]命令的參數(shù)說明：命令中的選擇說明如表10-3所示用戶賬號(hào)：可選，指定所需要查看的用戶10.2.3.5finger命令finger命令：僅用來查找并顯示用戶的詳細(xì)信息。finger的命令格式：

finger[參數(shù)][用戶賬號(hào)]命令的參數(shù)說明：

命令中的選擇說明如表10-4所示

用戶賬號(hào)：可選，指定所需要查看的用戶10.2.3.6lastlog命令lastlog命令：通過/var/log/lastlog文件檢查用戶上次登錄的時(shí)間，并格式化輸出上次登錄日志的內(nèi)容。lastlog的命令格式如下：

lastlog[參數(shù)]參數(shù)說明：

·命令中的選擇說明如書上表10-5所示10.3課后習(xí)題與實(shí)驗(yàn)日志主要的功能有哪些？簡(jiǎn)述Linux中主要的日志子系統(tǒng)。什么是syslog設(shè)備？如下的日志文件記錄的內(nèi)容是什么？/var/log/boot.log：/var/log/cron：/var/log/maillog：10.3.1課后習(xí)題/var/log/messages：/var/log/lastlog：/var/log/wtmp：/var/log/utmp：/var/log/kernlog：5.上述日志文件中哪些是文本文件，哪些是二進(jìn)制文件，分別應(yīng)該如何查看文件內(nèi)容？10.3.2實(shí)驗(yàn)：Linux下日志文件的管理實(shí)驗(yàn)?zāi)康恼莆誏inux的日志文件