# od -bc faillog
0000000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000 000
\0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0 \0
*
0076600
当您试图对lastlog进行跟踪时,却发现需要使用lastlog命令来查看日志数据时,您可能看不到什么。
下面是/var/log中的日志文件列表,以及关于它们包含什么以及如何查看它们的内容的一些描述。
alternatives.log - 来自update-alternatives的“运行”建议
apport.log - 截获的崩溃信息
auth.log - 使用的用户登录和身份验证机制
boot.log - 启动时间消息
btmp - 登录尝试失败
dpkg.log - 有关安装或删除软件包的信息
lastlog - 最近登录(使用lastlog命令查看
faillog - 登录尝试失败的信息 - 如果没有发生则全部为零(使用faillog命令查看)
kern.log - 内核日志消息
mail.err - 有关邮件服务器检测到的错误的信息
mail.log - 来自邮件服务器的信息
syslog - 系统服务日志
ufw - 防火墙日志
wtmp - 登录记录
journalctl
除了在/var/log中维护的日志文件之外,还有systemd日志。 虽然不是通常意义上的单个日志文件的简单“日志文件”,但该日志代表了有关用户和内核活动的重要信息集合。 从系统上的各种源检索信息。
要查看已收集的信息,请使用journalctl命令。
您将看到多少信息取决于您是否是adm组的成员。 非adm用户将看到相对较少的信息,但adm组的成员将可以访问大量数据 - 如此示例所示,这仅仅向我们显示该adm组成员可以使用多少行信息。
[linuxidc@localhost log]$ journalctl | wc -l
3225
[linuxidc@localhost log]$
这超过3000行文字! 为了减少这种希望更容易消化的显示,你可能会想要使用适合你所看到的显示的参数。 journalctl提供的一些选项包括:
--utc(将时间格式更改为UTC)
-b(仅显示自上次启动后添加的记录)
-b -1(仅显示自上次启动以来添加的记录)
--since和--until(仅显示在指定时间范围内添加的记录,例如--since“2018-10-15”--until“2018-10-11 06:00”
这是一个例子:
[linuxidc@localhost log]$ journalctl --since "2018-10-17 19:28"
-- Logs begin at 三 2018-10-17 18:58:40 CST, end at 三 2018-10-17 22:57:06 CST.
10月 17 19:28:00 localhost.localdomain fprintd[54748]: No devices in use, exit
10月 17 19:28:02 localhost.localdomain dbus[696]: [system] Activating via system
10月 17 19:28:02 localhost.localdomain systemd[1]: Starting Fingerprint Authenti
10月 17 19:28:02 localhost.localdomain dbus[696]: [system] Successfully activate
10月 17 19:28:02 localhost.localdomain systemd[1]: Started Fingerprint Authentic
10月 17 19:28:02 localhost.localdomain fprintd[54906]: D-Bus service launched wi
10月 17 19:28:02 localhost.localdomain fprintd[54906]: Launching FprintObject
10月 17 19:28:02 localhost.localdomain fprintd[54906]: entering main loop
10月 17 19:28:03 localhost.localdomain su[54905]: (to root) linuxidc on pts/2
10月 17 19:28:03 localhost.localdomain su[54905]: pam_unix(su-l:session): sessio
10月 17 19:28:23 localhost.localdomain su[54747]: pam_unix(su-l:session): sessio
10月 17 19:28:32 localhost.localdomain org.gnome.Shell.desktop[2251]: Window man
10月 17 19:28:32 localhost.localdomain kde4-ksnapshot.desktop[54711]: last windo
10月 17 19:28:32 localhost.localdomain fprintd[54906]: No devices in use, exit
10月 17 19:28:40 localhost.localdomain org.gnome.Shell.desktop[2251]: Window man
10月 17 19:28:40 localhost.localdomain kde4-ksnapshot.desktop[54711]: last windo
10月 17 19:28:43 localhost.localdomain org.gnome.Shell.desktop[2251]: Window man
10月 17 19:28:43 localhost.localdomain kde4-ksnapshot.desktop[54711]: last windo
10月 17 19:28:51 localhost.localdomain org.gnome.Shell.desktop[2251]: Window man
10月 17 19:28:51 localhost.localdomain kde4-ksnapshot.desktop[54711]: last windo
10月 17 19:30:01 localhost.localdomain systemd[1]: Started Session 6 of user roo
10月 17 19:30:01 localhost.localdomain systemd[1]: Starting Session 6 of user ro
10月 17 19:30:01 localhost.localdomain CROND[54998]: (root) CMD (/usr/lib64/sa/s
lines 2-24
您还可以检查某些特定���务的日志条目。 这可能是journalctl命令可以为您做的更有用的事情之一: