Linux的日志文件放在哪个目录下

RedHat Linux常见的日志文件详述如下

◆/var/log/boot.log

该文件记录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息。

◆/var/log/cron

该日志文件记录crontab守护进程crond所派生的子进程的动作，前面加上用户、登录时间和PID，以及派生出的进程的动作。

CMD的一个动作是cron派生出一个调度进程的常见情况。

REPLACE（替换）动作记录用户对它的cron文件的更新，该文件列出了要周期性执行的任务调度。

RELOAD动作在REPLACE动作后不久发生，这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。

该文件可能会查到一些反常的情况。

◆/var/log/maillog

该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。

它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。

该文件的格式是每一行包含日期、主机名、程序名，后面是包含PID或内核标识的方括号、一个冒号和一个空格，最后是消息。

该文件有一个不足，就是被记录的入侵企图和成功的入侵事件，被淹没在大量的正常进程的记录中。

但该文件可以由/etc/syslog文件进行定制。

由/etc/syslog.conf配置文件决定系统如何写入/var/messages。

有关如何配置/etc/syslog.conf文件决定系统日志记录的行为，将在后面详细叙述。

◆/var/log/syslog

默认RedHat Linux不生成该日志文件，但可以配置/etc/syslog.conf让系统生成该日志文件。

它和/etc/log/messages日志文件不同，它只记录警告信息，常常是系统出问题的信息，所以更应该关注该文件。

要让系统生成该日志文件，在/etc/syslog.conf文件中加上：*.warning /var/log/syslog 该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息。

该日志文件记录最近成功登录的事件和最后一次不成功的登录事件，由login生成。

在每次用户登录时被查询，该文件是二进制文件，需要使用lastlog命令查看，根据UID排序显示登录名、端口号和上次登录时间。

如果某用户从来没有登录过，就显示为"**Never logged in**"。

该命令只能以root权限执行。

系统账户诸如bin、daemon、adm、uucp、mail等决不应该登录，如果发现这些账户已经登录，就说明系统可能已经被入侵了。

若发现记录的时间不是用户上次登录的时间，则说明该用户的账户已经泄密了。

◆/var/log/wtmp

该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。

因此随着系统正常运行时间的增加，该文件的大小也会越来越大，增加的速度取决于系统用户登录的次数。

该日志文件可以用来查看用户的登录记录，last命令就通过访问这个文件获得这些信息，并以反序从后向前显示用户的登录记录，last也能根据用户、终端 tty或时间显示相应的记录。

命令last有两个可选参数：

last -u 用户名 显示用户上次登录的情况。

last -t 天数 显示指定天数之前的用户登录情况。

◆/var/run/utmp

该日志文件记录有关当前登录的每个用户的信息。

因此这个文件会随着用户登录和注销系统而不断变化，它只保留当时联机的用户记录，不会为用户保留永久的记录。

系统中需要查询当前用户状态的程序，如 who、w、users、finger等就需要访问这个文件。

该日志文件并不能包括所有精确的信息，因为某些突发错误会终止用户登录会话，而系统没有及时更新 utmp记录，因此该日志文件的记录不是百分之百值得信赖的。

以上提及的3个文件（/var/log/wtmp、/var/run/utmp、/var/log/lastlog）是日志子系统的关键文件，都记录了用户登录的情况。

这些文件的所有记录都包含了时间戳。

这些文件是按二进制保存的，故不能用less、cat之类的命令直接查看这些文件，而是需要使用相关命令通过这些文件而查看。

其中，utmp和wtmp文件的数据结构是一样的，而lastlog文件则使用另外的数据结构，关于它们的具体的数据结构可以使用man命令查询。

每次有一个用户登录时，login程序在文件lastlog中查看用户的UID。

如果存在，则把用户上次登录、注销时间和主机名写到标准输出中，然后login程序在lastlog中记录新的登录时间，打开utmp文件并插入用户的utmp记录。

该记录一直用到用户登录退出时删除。

utmp文件被各种命令使用，包括who、w、users和finger。

下一步，login程序打开文件wtmp附加用户的utmp记录。

当用户登录退出时，具有更新时间戳的同一utmp记录附加到文件中。

wtmp文件被程序last使用。

◆/var/log/xferlog

该日志文件记录FTP会话，可以显示出用户向FTP服务器或从服务器拷贝了什么文件。

该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序，以及该用户拷贝了哪些文件供他使用。

该文件的格式为：第一个域是日期和时间，第二个域是下载文件所花费的秒数、远程系统名称、文件大小、本地路径名、传输类型（a：ASCII，b：二进制）、与压缩相关的标志或tar，或"_"（如果没有压缩的话）、传输方向（相对于服务器而言：i代表进，o代表出）、访问模式（a：匿名，g：输入口令，r：真实用户）、用户名、服务名（通常是ftp）、认证方法（l：RFC931，或0），认证用户的ID或"*"。

RedHat Linux默认没有记录该日志文件。

要启用该日志文件，必须在/etc/syslog.conf文件中添加一行：kern.* /var/log/kernlog 。

这样就启用了向/var/log/kernlog文件中记录所有内核消息的功能。

该文件记录了系统启动时加载设备或使用设备的情况。

一般是正常的 *** 作，但如果记录了没有授权的用户进行的这些 *** 作，就要注意，因为有可能这就是恶意用户的行为。

该日志文件记录了X-Window启动的情况。

另外，除了/var/log/外，恶意用户也可能在别的地方留下痕迹，应该注意以下几个地方：root和其他账户的shell历史文件；用户的各种邮箱，如.sent、mbox，以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的邮箱；临时文件/tmp、/usr/tmp、/var/tmp；隐藏的目录；其他恶意用户创建的文件，通常是以"."开头的具有隐藏属性的文件等。

一般日志都存在 /var/log目录下面的 (可以自己设置),具体看你的设置 雨林木风 Ghost XP SP3 装机版 YN9.9 终极典藏版 09年12月更新版 http://xitong8.com/xitong/46.html 雨林木风 Ghost XP SP3 装机版 YN9.9 终极典藏版 09年11月更新版 http://xitong8.com/xitong/48.html。

维护系统很长时间，第一次遇见系统日志把var空间占满了，经过查找资料解决。

主要的日志子系统：

1.连接时间日志--由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。

2.进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。

3.错误日志--由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。

常用的日志文件如下：

access-log 纪录HTTP/web的传输

acct/pacct 纪录用户命令

aculog 纪录MODEM的活动

btmp纪录失败的纪录

lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录

messages从syslog中记录信息（有的链接到syslog文件）

sudolog 纪录使用sudo发出的命令

　 sulog 纪录使用su命令的使用

syslog 从syslog中记录信息（通常链接到messages文件）

utmp纪录当前登录的每个用户

wtmp一个用户每次登录进入和退出时间的永久纪录

xferlog 纪录FTP会话

直接删除日志:

1.删除所有的日志：find /var -type f -exec rm -v {} \（最后的分号也是必须命令的一部分）

2.设置/etc/logrotate.d/syslog文件控制日志文件的大小。

3. 如果实在想自己手工清空某些日志文件的话， 可以使用命令：> /var/log/message。这个命令的功能是把文件message中的内容清空。 也可以将此命令加入到cron任务中。

linux详细日志解析：

unix系统日志文件通常是存放在"/var/log　and /var/adm"目录下的。通常我们可以查看syslog.conf来看看日志配置的情况．如：cat /etc/syslog.conf

其中sunos的在/var/log和/var/adm下.还有/usr/adm为/var/adm的链接．

redhat的在/var/log 和 /var/run下．

下面的是sun os5.7中的日志样本．

# ls /var/adm

acct 　log messages.1 　passwd 　sulog vold.log

aculog messages messages.2　 sa 　utmp 　 　wtmp

lastlog 　 messages.0 　messages.3 　spellhist 　 utmpx wtmpx

# ls /var/log

authlog　 syslog 　syslog.1 syslog.3

sysidconfig.log 　syslog.0 syslog.2 syslog.4

下面的是redhat6.2中的日志样本．

# ls /var/log

boot.log dmesg messages.2 　secure uucp

boot.log.1 　htmlaccess.logmessages.3 　secure.1 　wtmp

boot.log.2 　httpd messages.4 　secure.2 　wtmp.1

boot.log.3 　lastlog 　netconf.log　secure.3 　xferlog

boot.log.4 　mailllog netconf.log.1secure.4 　xferlog.1

cron maillog 　netconf.log.2sendmail.st 　 xferlog.2

cron.1　 maillog.1 netconf.log.3spooler 　 xferlog.3

cron.2　 maillog.2 netconf.log.4spooler.1 xferlog.4

cron.3　 maillog.3 news spooler.2

cron.4　 maillog.4 normal.log 　spooler.3

daily.log 　 messages　realtime.log　 　spooler.4

daily.sh messages.1 　 samba 　transfer.log

# ls /var/run

atd.pid 　gpm.pid 　klogd.pid random-seed treemenu.cache

crond.pid identd.pid 　 netreport runlevel.dir utmp

ftp.pids-all　inetd.pid news syslogd.pid

一般我们要清除的日志有

lastlog

utmp(utmpx)

wtmp(wtmpx)

messages

syslog

---