Linux中对于连接时间的日志,一般由/var/log/wtmp和/var/run/utmp这两个文件记录,不过这两个文件无法直接使用cat查看,并且该文件由系统自动更新,我们可以通过w、who、finger、id、last、lastlog、ac命令进行查看。
Linux中对于进程的监控日志,首先说进程监控日志在监控用户的操作指令是很有效的,当服务器最近发现经常发生无故宕机或者无故被人删除文件等现象时,可以通过使用进程统计日志来查看。我们使用accton /var/account/pacct来开启进程统计日志监控,我们可以使用lastcomm来查看进程统计日志情况。
Linux中对于日志服务是由一个名为syslog的服务管理的,比如syslog日志服务驱动很多文件,比如/var/log/lastlog是记录最后一次用户成功登陆的时间、登陆的IP信息,而/var/log/messages则是记录Linux操作系统常见的系统和服务错误信息,而/var/log/secure则是记录Linux系统安全日志、记录用户和工作组变换情况、用户登录认证信息、而/var/log/btmp则是记录Linux登录失败的用户、时间以及远程的IP地址,而/var/log/cron则是记录计划任务的执行情况。
而syslog服务由两个重要的配置文件控制管理,分别是/etc/syslog.conf主配置文件和/etc/sysconfig/syslog辅助配置文件,而/etc/init.d/syslog则是启动脚本。
当系统工作到了一定时间后,日志文件的内容会随着时间和访问量的增加而越来越多,日志文件也会越来越大,当日志文件超过系统控制范围的时候,就会对系统性能造成影响。转储的方式可以设置为每年转储、每月转储、每周转储、达到一定大小转储等。
在Linux系统中,我们经常使用logrotate来进行日志的转储,结合cron计划任务,可以轻松实现日志文件的转储,转储方式的设置有/etc/logrotate.conf配置文件控制。