linux系统日志文件的位置命令

Linux常见的日志文件详述如下

1、/var/log/boot.log（自检过程）

2、/var/log/cron （crontab守护进程crond所派生的子进程的动作）

3、/var/log/maillog （发送到系统或从系统发出的电子邮件的活动）

4、/var/log/syslog （它只记录警告信息，常常是系统出问题的信息，所以更应该关注该文件）

要让系统生成syslog日志文件，

在/etc/syslog.conf文件中加上：*.warning /var/log/syslog

该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息

5、/var/run/utmp

该日志文件需要使用lastlog命令查看

6、/var/log/wtmp

（该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件）

last命令就通过访问这个文件获得这些信息

7、/var/run/utmp

（该日志文件记录有关当前登录的每个用户的信息） 《Linux就该这么学》 一起学习linux

8、/var/log/xferlog

（该日志文件记录FTP会话，可以显示出用户向FTP服务器或从服务器拷贝了什么文件）

收集方法：

1) 将DSA文件拷贝到本地临时目录下(比如/tmp)，比如下载的DSA的文件名是ibm_utl_dsa_212p_rhel4_i386.bin。

2) 确保DSA文件具有可执行属性，执行命令：chmod +x ibm_utl_dsa_212p_rhel4_i386.bin。

3) 执行DSA工具，执行命令：./ibm_utl_dsa_212p_rhel4_i386.bin。

4) 稍等一段时间，DSA程序会将收集到的信息保存到/var/log/IBM_SUPPORT目录下（如果有无法生成日志文件的情况建议用以ROOT用户重新收集日志）

1、who命令

who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。使用该命令，系统管理员可以查看当前系统存在哪些不法用户，从而对其进行审计和处理。例如：运行who命令显示如下所示：

# who

root     pts/1        2010-02-22 13:02 (:0.0)

root     pts/2        2010-02-22 15:57 (:0.0)

root     pts/3        2010-02-22 15:57 (:0.0)

如果指明了wtmp文件名，则who命令查询所有以前的记录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。例如：运行该命令如下所示：

root     :0           2010-01-24 21:47

root     pts/1        2010-01-24 21:47 (:0.0)

root     :0           2010-02-20 19:36

root     pts/1        2010-02-20 19:36 (:0.0)

root     :0           2010-02-21 15:21

root     pts/1        2010-02-21 15:56 (:0.0)

root     pts/2        2010-02-21 16:03 (:0.0)

root     :0           2010-02-22 13:01

root     pts/1        2010-02-22 13:02 (:0.0)

root     pts/2        2010-02-22 15:57 (:0.0)

root     pts/3        2010-02-22 15:57 (:0.0)

2、user命令

users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。运行该命令将如下所示：

# users

root root root

3、last 命令

last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。系统管理员可以周期性地对这些用户的登录情况进行审计和考核，从而发现起中存在的问题，确定不法用户，并进行处理。运行该命令，如下所示：

# last

root     pts/3        :0.0             Mon Feb 22 15:57   still logged in

root     pts/2        :0.0             Mon Feb 22 15:57   still logged in

root     pts/1        :0.0             Mon Feb 22 13:02   still logged in

root     :0                            Mon Feb 22 13:01   still logged in

reboot   system boot  2.6.18-8.el5     Mon Feb 22 12:56          (03:02)

root     pts/2        :0.0             Sun Feb 21 16:03 - down   (02:37)

4、ac命令

ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间（小时），如果不使用标志，则报告总的时间。例如：ac（回车）显示：total 18.47，如下所示：

# ac

total       18.47

另外，可加一些参数，例如，last -u 102将报告UID为102的用户；last -t 7表示限制上一周的报告。

5、lastlog命令

lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示**Never logged**。注意需要以root身份运行该命令。

参考资料：《Linux如何学》，部分来源网络

---