最近我发现我买的某深圳云服务器log目录有点大,该服务器只是个测试机器,没有用作任何生产环境,log日志竟然这多。那我就来分析一下这些日志。如图1,进入log日志目录。执行命令按照文件从大到小排序:ls -lS -h
btmp日志文件是:记录所有失败登录信息。我这个文件比较大应该有人暴力远程破解我的密码。执行,命令:lastb | awk ‘{ print $3}’ | sort | uniq -c | sort -n 查看恶意ip试图登录次数,如图2
secure日志文件是:包含验证和授权方面信息。例如,ssh会将所有信息记录(其中包括失败登录)在这里。
messages日志文件是:系统启动后的信息和错误日志,是Linux中最常用的日志之一
cron日志文件是:每当cron进程开始一个工作时,就会将相关信息记录在这个文件中,是系统定时任务的记录,vim打开如图3:
lastlog日志文件是:检查最后一次登录本系统的用户登录的时间信息,执行命令参看root用户最后一次 l登录信息: lastlog -u root 如图4
mysqld.log日志文件是:是mysql软件的日志文件
wtmp日志文件是:包含登录信息,通过命令查找谁真正登录等你的机器执行命令:who -u /var/log/wtmp 如图5:
yum.log日志文件是:包含使用yum安装更新的软件包信息记录
audit日志文件夹是:audit记录的信息,audit的目的则不同,它是linux安全体系的重要组成部分,是一种“被动”的防御体系。在内核里有内核审计模块,记录系统中的各种动作和事件,比如系统调用,文件修改,执行的程序,系统登入登出和记录所有系统中所有的事件,它的主要目的是方便管理员根据日记审计系统是否允许有异常,是否有入侵等等,说穿了就是把和系统安全有关的事件记录下来。
chrony日志文件是:Linux服务器时间同步日志
httpd日志文件是:apache或者tomcat等WEB服务器运行日志
journal日志文件是:Linux系统及各应用的日志都是分别管理的日志
nginx日志文件是:nginx服务器日志文件夹,包含access_log和error_log信息
ntpstats日志文件是:(文件夹)ntpstats(时间同步)相关日志
php-fpm日志文件是:php-fpm日志文件夹,包含error.log信息
tuned日志文件是:系统调优工具 tuned/tuned-adm日志记录
grubby日志文件是:linux grubby日志记录
grubby_prune_debug日志文件是:
maillog日志文件是:与邮件相关的日志信息记录文件
dmesg日志文件是:包含内核缓冲信息,在系统启动时,会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。
spooler日志文件是:与UUCP和news设备相关的日志信息记录文件
tallylog日志文件是:记录认证失败情况,与pam(可插拔认证模块)认证登陆有关
wpa_supplicant.log日志文件是:
boot.log日志文件是:Linux守护进程启动和停止相关的日志消息记录文件
愿世界天堂没有代码
