Ubuntu系统日志分析

可视化的Ubuntu可在系统日志中查看日志

1. 日志查看器

• Xorg 是显示服务
• auth是安全验证
• boot是启动
• daemon是进程
• kern是内核
• messages是消息
• syslog是系统
• user是用户

2. 连接时间的日志

连接时间日志一般由/var/log/wtmp和/var/run/utmp这两个文件记录

3. 进程监控日志

进程统计监控日志在监控用户的操作指令是非常有效的。当服务器最近发现经常
无故关机或者无故被人删除文件等现象时，可以通过使用进程统计日志查看：
　　[root@xhot ~]# accton /var/account/pacct //开启进程统计日志监控
　　[root@xhot ~]# lastcomm //查看进程统计日志情况

4. 系统和服务日志

系统日志服务是由一个名为syslog的服务管理的，如一下日志文件都是由syslog日志服务驱动的：
　　/var/log/lastlog ：记录最后一次用户成功登陆的时间、登陆IP等信息
　　/var/log/messages ：记录Linux操作系统常见的系统和服务错误信息
　　/var/log/secure ：Linux系统安全日志，记录用户和工作组变坏情况、用户登陆认证情况
　　/var/log/btmp ：记录Linux登陆失败的用户、时间以及远程IP地址
　　/var/log/cron ：记录crond计划任务服务执行情况
 

Ubuntu下var-log下各个日志文件的作用说明

alternatives.log-更新替代信息都记录在这个文件中
apport.log -应用程序崩溃记录
apt/   -用apt-get安装卸载软件的信息
auth.log  -用户登录及身份认证日志
boot.log  -包含系统启动时的日志。
btmp    -记录所有失败启动信息
Consolekit  - 记录控制台信息
cpus     - 涉及所有打印信息的日志
dist-upgrade  - dist-upgrade这种更新方式的信息
dmesg    -包含内核缓冲信息（kernel ringbuffer）。在系统启动时，显示屏幕上的与硬件有关的信息
dpkg.log   - 包括安装或dpkg命令清除软件包的日志。
debug  -调试日志信息
daemon.log -运行squid，ntpd等其他日志消息
faillog    - 包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。
fontconfig.log -与字体配置有关的log。
fsck     - 文件系统日志
faillog   -包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。
kern.log –包含内核产生的日志，有助于在定制内核时解决问题。
lastlog —记录所有用户的最近信息。这不是一个ASCII文件，因此需要用lastlog命令查看内容。
faillog –包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。
mail/ – 这个子目录包含邮件服务器的额外日志。
mail.err    -类似于上面的
message/  -常规日志信息
samba/ -包含由samba存储的信息。
wtmp -包含登录信息。使用wtmp可以找出谁正在登陆进入系统，谁使用命令显示这个文件或信息等。
xorg.*.log -来自X的日志信息。
user.log -所有用户级日志
ufw -ufw防火墙日志
gufw -gufw防火墙日志