无标题文章

一、登录文件概述

1.什么是登录文件

简单的说，就是记录系统活动信息的几个文件， 例如：何时、何地

（来源 IP）、何人 （什么服务名称）、做了什么动作 （讯息登录啰）。 换句话说就是：记

录系统在什么时候由哪个程序做了什么样的行为时，发生了何种的事件等等。

2.常见登录文件

/var/log/boot.log：

开机的时候系统核心会去侦测与启动硬件，接下来开始各种核心支持的功能启动等。这些流程都会记录在

/var/log/boot.log 里面哩！ 不过这个文件只会存在

这次开机启动的信息，前次开机的信息并不会被保留下来！/var/log/cron：

还记得第十五章例行性工作调度吧？你的 crontab 调度有没有实际被进行？ 进行过程有没有发生错误？你的

/etc/crontab 是否撰写正确？在这个登录文件内查

询看看。/var/log/dmesg：

记录系统在开机的时候核心侦测过程所产生的各项信息。由于 CentOS默认将开机时核心的硬件侦测过程取消显示， 因此额外将数据记录一份在这个文件中；

/var/log/lastlog：

可以记录系统上面所有的帐号最近一次登陆系统时的相关信息。第十三章讲到的 lastlog 指令就是利用这个文件的记录信息来显示的。

/var/log/maillog或 /var/log/mail/ *：

记录邮件的往来信息，其实主要是记录 postfix（SMTP 协定提供者） 与 dovecot （POP3 协定提供者） 所产生的讯息啦。 SMTP 是发信所使用的通讯协定， POP3 则是收信使用的通讯协定。 postfix 与 dovecot 则分别是两套达成通讯协定的软件。

/var/log/messages：这个文件相当的重要，几乎系统发生的错误讯息 （或者是重要的信息） 都会记录在这个文件中； 如果系统发生莫名的错误时，这个文件是一定要查阅的登录文件之一。/var/log/secure：

基本上，只要牵涉到“需要输入帐号密码”的软件，那么当登陆时 （不管登陆正确或错误） 都会被记录在此文件中。 包括系统的

login程序、图形接口登陆所使

用的 gdm 程序、su,sudo等程序、还有网络连线的ssh, telnet 等程序， 登陆信息都会

被记载在这里；/var/log/wtmp, /var/log/faillog：

这两个文件可以记录正确登陆系统者的帐号信息（wtmp） 与错误登陆时所使用的帐号信息 （faillog） ！ 我们在第十章谈到的

last就是

读取 wtmp 来显示的， 这对于追踪一般帐号者的使用行为很有帮助！/var/log/httpd/, /var/log/samba/：

不同的网络服务会使用它们自己的登录文件来记载它们自己产生的各项讯息！上述的目录内则是个别服务所制订的登录文件。

二、登录文件管理

CentOS 提供rsyslog.service这个服务来统一管理登录文件喔！

并且，登录日志过于庞大的问题可以通过 logrotate（登录文件轮替） 这玩意儿来自动化处理登录文件容量与更新的问题喔！

所谓的 logrotate 基本上，就是将旧的登录文件更改名称，然后创建一个空的登录文件，如此

一来， 新的登录文件将重新开始记录，然后只要将旧的登录文件留下一阵子，嗯！那就可以

达到将登录文件“轮转”的目的啦！ 此外，如果旧的记录 （大概要保存几个月吧！） 保存了一

段时间没有问题，那么就可以让系统自动的将他砍掉， 免得占掉很多宝贵的硬盘空间说！

总结一下，针对登录文件所需的功能，我们需要的服务与程序有：

systemd-journald.service：最主要的讯息收受者，由 systemd 提供的；

rsyslog.service：主要登录系统与网络等服务的讯息；

logrotate：主要在进行登录文件的轮替功能。

1.日志格式

以下面日志为例：

[root@study ~]#cat/var/log/secure

Aug1718:38:06studylogin: pam_unix（login:session）: session openedforuser root by LOGIN（uid=0）

Aug1718:38:06studylogin: ROOT LOGIN ON tty1

Aug1718:38:19studylogin: pam_unix（login:session）: session closedforuser root

Aug1823:45:17study sshd[18913]: Accepted passwordfordmtsai from192.168.1.200port41524ssh2

Aug1823:45:17study sshd[18913]: pam_unix（sshd:session）: session openedforuser dmtsai by （uid=0）

Aug1823:50:25studysudo: dmtsai : TTY=pts/0; PWD=/home/dmtsai ; USER=root ; COMMAND=/bin/su-Aug1823:50:25studysu: pam_unix（su-l:session）: session openedforuser root by dmtsai（uid=0）|--日期/时间---|--H--|-服务与相关函数-|-----------讯息说明------>

主要包括：日期　　时间　　主机名称　　指令/程序　　讯息内容

8.17　　18:38　　syudy　　　login　　　　root在tty1登录了

2.rsyslog.service简介

参见：https://www.cnblogs.com/uetucci/p/7767064.html

3.logrotate简介

参见：http://blog.csdn.net/cjwid/article/details/1690101

关于特殊属性的管理——chattr与lsattr可以参见之前随笔，或点击这里查看简要用法

4.日志监控logwatch简介

参见：https://www.cnblogs.com/kevingrace/p/6519504.html

三、开机流程管理

拓展阅读参考：http://blog.csdn.net/yzhang6_10/article/details/52177128

完整介绍，参考鸟哥私房菜

1.centos7开机流程简介

四、忘记密码的救援/单用户模式

centos6，参考：https://www.cnblogs.com/xiaoluo501395377/archive/2013/05/19/3087664.html

centos7，参考：https://www.cnblogs.com/zhangjianghua/p/6094496.html