Linux中/var/log目录下日志文件简介

Linux 系统日志文件通常存储在/var/log目录下，不同的日志文件记录了不同的信息，本文罗列出了一些常见的 Linux 日志文件，以及它们的作用。有理解的不到位之处，还请谅解。

1、/var/log/syslog 或 /var/log/messages

系统日志文件捕获广泛的系统消息，包括来自各种守护进程、系统进程和内核消息的消息。它们作为系统活动的综合记录。

对于一般的 Linux 日志分析至关重要，因为它们包含有关系统错误、警告和其他重要事件的信息（常见的，比如 OOM 的日志）。这些日志有助于诊断影响系统稳定性和性能的问题。

2、/var/log/auth.log 或 /var/log/secure

auth.log或 secure 日志记录认证相关的事件，例如成功和失败的登录尝试、用户权限更改和其他身份验证机制。对于识别未经授权的访问尝试和潜在的安全漏洞至关重要。通过此日志我们可以了解到谁访问系统以及何时访问系统。

通过 grep “Failed password” /var/log/auth.log 可以查看登录失败的记录，那自然也可以把Failed password 作为关键词配置告警规则。

3、/var/log/kern.log

kern.log 包含了 Linux 内核消息。它包括有关硬件事件、驱动程序消息和其他内核相关活动的信息。内核日志对于诊断与硬件和驱动程序相关的问题至关重要，这对于系统稳定性和性能至关重要。

当然，也可以通过 dmesg 命令查看内核日志，比如dmesg -T | grep -i error可以查看内核错误。同样的，也可以把 error作为关键词配置告警规则。

4、/var/log/boot.log

boot.log 记录与系统启动过程相关的事件，包括启动的服务及其状态。此日志对于排查启动问题至关重要。它有助于识别启动失败的服务、启动过程的延迟以及其他与启动相关的问题。

比如使用 less /var/log/boot.log 浏览这个文件，查找标有“FAILED”或“ERROR”的行，以找出启动失败的服务。

5、/var/log/dmesg

dmesg 日志包含来自内核 ring buffer 的消息，其中包括有关硬件组件、驱动程序和内核初始化的信息。此日志对于硬件诊断和监控系统性能很有价值。它有助于识别硬件故障和性能瓶颈。

6、/var/log/cron

cron 日志记录的是计划任务的运行情况。有助于诊断任务调度和执行方面的问题。

7、/var/log/maillog 或 /var/log/mail.log

Mailog 或 mail.log 捕获与邮件服务器活动相关的事件，包括电子邮件投放和错误。监控邮件日志对于邮件服务器管理和解决电子邮件投递问题至关重要。它们有助于确保组织内外的可靠通信。

使用 tail -f /var/log/maillog 检查邮件日志，查找包含“error”或“failed”的行以识别问题。

8、/var/log/ufw.log

ufw.log 记录与简单防火墙（UFW）相关的事件，包括允许和拒绝的连接尝试。防火墙日志对于监控网络安全和检测未经授权的访问尝试至关重要。它们有助于维护安全的网络环境。

通过 tail 等命令查看 UFW 日志，比如查找来自同一IP的重复拒绝尝试，这可能表明存在安全威胁。定期审查有助于确保防火墙规则有效。

9、/var/log/audit/audit.log

审计日志包含来自审计守护程序的详细记录，捕获广泛的系统事件以用于安全审计和合规性目的。审计日志对于详细的安全分析和遵守法规至关重要。它们提供了系统活动和更改的全面视图。

使用aussearch 和 auReport 工具从审计日志中搜索和生成报告。定期审计有助于确保系统安全和符合策略。

10、/var/log/daemon.log

守护进程日志记录来自系统守护进程的消息，这些守护进程是系统上运行的后台服务。守护程序日志对于监控后台服务的运行状况和性能至关重要。它们有助于解决服务操作问题。

11、/var/log/btmp

Btmp 日志记录失败的登录尝试，提供未经授权的访问尝试的记录。Btmp对于安全监控至关重要。它有助于检测和响应未经授权的访问尝试，增强系统安全性。

使用lastb 命令查看失败的登录尝试。

12、/var/log/wtmp

wtmp 日志记录登录和注销事件，跟踪系统上的用户活动。wtmp 对于跟踪用户行为和了解系统使用模式很重要。它有助于审核用户活动和检测异常。

使用 last 命令查看登录历史记录。分析模式以确保用户遵循预期行为并检测任何可疑活动。