**这个针对服务是tomcat启动的项目比如传统SSH或SSM**注意springboot和springcloud微服务项目是直接启动jar包服务器查看日志的命令(针对集群tomcat)cat/apps/svr/tomvat-900*/logs/catalina.out|grep-A100‘’grep‘’/apps/svr/tomvat-900*/logs/catalina.out查看最后20行g

Linux日志都以明文形式存储，所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本，

之前遇到Linux系统上日志突然不记录信息，最近解决了，记录一下，以后要是也遇到相同的问题，也可以试试这个办法。出问题的这台机器不是我配置，做了什么配置也不是十分了解。在出问题之前我删除过日志，以为是这个操作把日志服务弄出问题了，但我在其他的机器上删除日志使用了相同的操作，那台机器没有问题。还发现/var/log下只有lastlog有记录信息，其他的日志文件里没有东西，重启日志服务后也不起作用。在

（活动最终解释权归VSRC所有）本文档将介绍：如何通过Linux审计系统auditd监测WebShell执行系统命令的行为。测试环境：CentOS7.0_x64

Linux日志查询实战经验linux查看日志文件内容命令tail、cat、tac、head、echotail-n行数-f文件夹路径以及名字，用于查看log后面可以追加|grep+名字用于过滤例子：tail-fapp.log

快捷键ctrl+a：定位到开始ctrl+e：定位到最后ctrl+u：删除整行alt+backspace：删除单词ctrl+方向键：移动一个单词位headhead仅仅显示前面几行head-n10test.log查询日志文件中的头10行日志;head-n-10test.log查询日志文件除了最后10行的其他所有日志;tailtail命令从指定点开始将文件写到标准输出.使用tail命令的-f选项可以方便

GoAccess是一款开源的且具有交互视图界面的实时Web日志分析工具，通过你的Web浏览器或者*nix系统下的终端程序(terminal)即可访问。能为系统管理员提供快速且有价值的HTTP统计，并以在线可视化服务器的方式呈现。官方演示页面：https://rt.goaccess.io/?20170729002319一、安装依赖1、最终日志统计时显示IP地理位置：yuminstall-yGeoIP

webSocket读取linux日志，并显示到前端页面刚才在帖子上看到这篇文章觉得很简单，写websocket的，在这记录一下。

Whatislogrotate?logrotate用于对linux中各种日志文件的管理，它可以自动对日志进行截断（或轮循）、压缩以及删除旧的日志文件。比如，可以通过设置logrotate，让/var/log/foo日志文件每30天轮循，并删除超过6个月的日志。配置完后，logrotate的运作完全自动化，不必进行任何进一步的人为干预。Howtoinstallit一般情况下，logrotate已经安

Linux日志管理时间是日志管理的必要条件，必须要保持准确CentOS系统中综合日志记录的内容存放在/var/log/messages文件中日志的事件记录格式：日期时间主机进程[pid]：事件内容在Centos6

1、Linux系统的所有日志文件都保存在/var/log目录下：[root@rootnetwork-scripts]#cd/var/log[root@rootlog]#lsanaconda.ifcfg.logcron-20190821messages-20190821spoolervmware-network.6.loganaconda.logcron-20190903messages-20190

Rsyslog一、Linux日志基础以centos6为例来讲日志1、配置日志服务的脚步是Rpm -ql rsyslogVim /etc/rsyslog.conf 配置脚步/etc/rc.d/init.d

主配置文件：/etc/rsyslog.confLinux系统日志的重要性无需多言，日志对管理员来说，是了解系统运行的主要途径，因此需要对Linux日志系统有个详细的了解。

我们都知道linux日志文件对我们管理linux系统至关重要，我们需要根据日志文件的信息对系统进行维护、排错以及调优，但是随着系统运行的时间越来越长，软件越装越多，日志文件也变的越来越大~让我们查看起来十分的不方便

因为最近在看linux日志相关内容，把心得分享给大家linux系统日志文件默认存放路径/var/log/ls查看此路径下有哪些日志文件[root@localhostlog]#ls/var/loganaconda.ifcfg.logConsoleKitmessagestallyloganaconda.logcronntpstatsvmwa

linux日志系统的重要性想必大家都非常清楚了，我们平时的登录信息，各种操作信息，软件错误信息等等，想要系统一直健康稳定的运转，学会查看和管理日志系统是必不可少的技能。

sudosystemctlrestartauditd>Failedtorestartauditd.service:Operationrefused,unit>auditd.servicemayberequestedbydependencyonly

但是并不是所有的服务都可以完美的通过systemctl来控制，比如今天要提到的Auditd编辑audit.rules添加规则后，当然要通过restart服务来重启生效，但是通过 systemctl restart

在内核里有内核审计模块，核外有核外的审计后台进程auditd。应用程序给内核发送审计消息，内核的审计模块再把消息转发给用户空间的后台进程auditd处理。

1、安装：centos默认安装，Ubuntu：sudoapt-getinstallauditd2、开启auditd服务：serviceauditdstart3、查看当前auditd服务状态：serviceauditdstatusauditctl-s4

实现监管企业员工的操作行为就需要开启审计功能，也就是audit，通过日志查看用户的操作行为1、安装和开启auditd服务：安装：yuminstallaudit安装后默认启动查看运行状态:serviceauditdstatus2

auditd服务的安装：以CentOS6.5为例，使用下面的方法确认auditd服务的安装情况：yumlistauditaudit-libs确认以下两个package是否安装：audit.x86_64audit-libs.x86

auditd审计工具，常用来对文件修改进行监听，如监听那个进程修改了.ssh/authorized_keys这个工具在大多数Linux操作系统中是默认安装的。CentOS默认安装。

安装auditd查看auditd是否启动serviceauditdstatus如果出现Active:active(running)，说明已启动。

一、tail的使用tail-n20filename说明：显示filename最后20行。Linux下tail命令的使用方法。linuxtail命令用途是依照要求将指定的文件的最后部分输出到标准设备，通常是终端，通俗讲来，就是把某个档案文件的最后几行显示到终端上，假设该档案有更新，tail会自己主动刷新，确保你看到最新的档案内容。tail命令语法tail[-f][-cNumber|-nNumber|

日志管理rsyslog与应用程序的日志rsyslog：查看日志进程psaux|greprsyslogd系统主日志路径/var/log/messagestail-f/var/log/messages动态查看日志的尾部，打开另外一个窗口操作yuminstallrsysloglogrotate日志程序出问题就执行这条命令从新安装rpm-qcrsyslog查看日志程序配置的情况/etc/sysconfig

在Linux系统中使用xShell如何搜索查找文件里面的内容是查找问题、系统维护当中最常见的需求。搜索、查找文件当中的内容，一般最常用的是grep命令，另外还有egrep,vi命令也能搜索文件里面内容假如是非压缩包文件，可以用grep命令去搜索，例如：grep–i“被查找的字符串”文件名假如是.gz压缩包类型的话，可以用zgrep命令去搜索，例如：zgrep–i“被查找的字符串”文件名1：搜索某个

日志系统rsyslog日志管理基础rsyslog日志管理logrotate日志轮转采集----->分析一、处理日志的进程rsyslogd：绝大部分日志记录，和系统操作有关，安全，认证sshd,su，计划任务at,cron…httpd/nginx/mysql:可以自己的方式记录日志[root@youngfit~]#psaux|greprsyslogdroot7170.00.02197523880?S

ubuntu版本：ubuntu-gnome-16.04-desktop-amd64，gnome版---------------------------------------------------------------------------------1.syslogd和rsyslogdsyslogd是Linux下的一个记录日志文件服务。从结构来说，可以理解为这个服务下面有一系列的子服务，例

GitHub地址：https://github.com/Bypass007/Emergency-Response-Notes本文主要介绍Linux日志分析的技巧，更多详细信息请访问Github地址，欢迎

问题看到关于日志文件系统的优点时，不禁有些疑惑：日志文件系统中难道日志就不会丢失么？既然日志读写速度如此之快，为何不把所有文件作为日志进行读写？查询资料特整理如下。首先回答问题，日志文件也有可能丢失，系统中通过checksum的方法来检测日志文件的完整性。不过既然日志都有可能丢失，为何还是采用日志文件的方法？自然是因为日志文件系统相比于之前的系统可以大大提高数据的安全性。1.unix文件系统有哪些

一，简介rsyslog系统日志管理：关心问题：哪类程序---》产生的什么日志----》放到什么地方logrotate日志轮转：将大量的日志，分割管理，删除旧日志。系统信息可视化：将来采集----->分析二，日志处理1，处理日志的进程1.1第一类rsyslogd：系统专职日志程序。将绝大部分日志记录，和系统操作有关，安全，认证sshd,su，计划任务at,cron..1.2第二类httpd/ngin

linux的日志服务由rsyslog来控制。1.确定rsyslog服务是否启动，一般默认是启动和自启动的。psaux|greprsyslog//查看服务是否启动chkconfig--list|greprsyslog//查看服务是否自启动2.常见服务日志的作用3.日志配置文件参数如果配置文件中拥有“dateext”参数，那么日志会用日期来作为日志文件的后缀，如“secure-20180529”；若没

大纲Linux日志系统简介Linux日志分析Linux日志入侵发现实例分析Linux日志系统简介日志的主要用途是系统审计、监测追踪和分析统计。为了保证Linux系统

讯息等级系统将讯息分为七个主要的等级，依序是由不重要排列到重要讯息等级：info：仅是一些基本的讯息说明而已；notice：比info还需要被注意到的一些信息内容；warning或warn：警示讯息，可能有问题，但是还不至于影响到某个daemon运作。err或error：一些重大的错误讯息，这就要去找原因了。crit：比error还要严重的错误信息，crit是临界点(critical)的缩写，已经

linux软件syslogsyslog-ng（nextgeneration）日志系统:syslog负责统一记录日志syslog服务：syslogd：系统，非内核产生的信息。klogd：内核，专门负责记录内核产生的日志信息。kernel-->物理终端(/dev/console)-->/var/log/dmsgklogdmesgdmesg-printorcontrolthekernelringbuff

inux日志级别(loglevel)详解前几天，我在想printk中到底是哪些信息会打印到console上，哪些东西可以通过dmesg来查看。参考了网上一些资料以及自己做的一些实，总结一下Linux中的consoleloglevel以及printk,dmesg知识。只有当printk打印信息时的loglevel小于consoleloglevel的值（优先级高于consoleloglevel），这些

Linux日志都以明文形式存储，所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本，来扫描这些日志，并基于它们的内容去自动执行某些功能。Linux日志存储在/var/log目录中。

我们知道Linux系统上有一个叫auditd的审计工具。这个工具在大多数Linux操作系统中是默认安装的。那么auditd是什么？该如何使用呢？下面我们开始介绍。什么是auditd？audi

Linux审计主要用于查看系统改动的信息，如系统密码修改，用户的新建，主要用于保障系统的安全，下面简单介绍审计如何使用1启动审计进程：[tommy@xie-testlog]$sudoserviceauditdstart2查看当前审计规则[tommy@xie-testlog]$sudoauditctl-l[sudo]passwordfortommy:LIST_RULES:exit,alwayswat

Linux日志都以明文形式存储，所以用户不需要特殊的工具就可以搜索和阅读它们。还可以编写脚本，来扫描这些日志，并基于它们的内容去自动执行某些功能。Linux日志存储在/var/log目录中。

LinuxKernel2.6进程调度的分析第一章Kernel2.4存在的不足根据对2.4进程调度的分析，我们总结出看出2.4内核总的特点就是：内核调度简单有效内核不可抢占但是经过对2.4内核的分析，我们也明显看到了它的缺点：1.调度算法复杂度是O(n)，与系统负荷关系较大。而且调度算法在设计上也有缺陷，比如：(1)2.4进程调度只设置了一个进程就绪队列，这样有的进程用完了自己时间片以后还要呆在就绪

linux日志管理/var/log/dmesg:记录系统在启动时核心侦测过程所产生的各项信息。/var/log/secure：记录登陆信息，系统安全日志。

：详细配置字段说明可参考：https://www.cnblogs.com/zwcry/p/9602756.html[Unit]Description:描述，After：在network.target,auditd.service

1、有关当前登录用户的信息记录在文件utmp中；======who命令2、登录进入和退出纪录在文件wtmp中；========w命令3、最后一次登录文件可以用lastlog命令察看；4、messages======从syslog中记录信息注意：wtmp和utmp文件都是二进制文件，他们不能被诸如tail命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac来使用这两个

首先linux下登录日志在下面的目录里：cd/var/log查看ssh用户的登录日志：lesssecurelinux日志管理：二、查看是否有定时计划任务命令：crontab-l如果有计划命令，则取消计划命令编辑定时任务

系统版本：[root@minimal~]#cat/etc/redhat-releaseCentOSLinuxrelease7.3.1611(Core)Linux的日志比较集中，一般都在/var/log/，yum安装的软件的日志也都在这里。[root@minimal~]#ll/var/log/总用量1076drwxr-xr-x.2rootroot1767月1216:00anacondadrwx---

linux系统中，利用grep打印匹配的上下几行如果在只是想匹配模式的上下几行，grep可以实现。$grep-5‘parttern’inputfile//打印匹配行的前后5行$grep-C5‘parttern’inputfile//打印匹配行的前后5行$grep-A5‘parttern’inputfile//打印匹配行的后5行$grep-B5‘parttern’inputfile//打印匹配行的前

GitHub地址：https://github.com/Bypass007/Emergency-Response-Notes本文主要介绍Linux日志分析的技巧，更多详细信息请访问Github地址，欢迎

健壮性，Filebaet在读取和转发日志的过程中，如果被中断，会计入当前位置，当重新开始时，会从中断的位置开始简单模块化，内置模块apache，nginx，mysql，system，auditd等。