ubuntu日志文件

一、/var/log/目录下的日志文件

1、/var/log/auth.log 包含系统授权信息，包括用户登录和使用的权限机制等。
2、/var/log/boot.log — 包含系统启动时的日志。
3、/var/log/daemon.log — 包含各种系统后台守护进程日志信息。
4、/var/log/lastlog — 记录所有用户的最近信息。这不是一个ASCII文件，因此需要用lastlog命令查看内容。
5、/var/log/user.log — 记录所有等级用户信息的日志。
6、/var/log/btmp – 记录所有失败登录信息。使用last命令可以查看btmp文件。例如，”last -f /var/log/btmp | more“。
7、/var/log/cron — 每当cron进程开始一个工作时，就会将相关信息记录在这个文件中。
8、/var/log/secure — 包含验证和授权方面信息。例如，sshd会将所有信息记录（其中包括失败登录）在这里。
9、/var/log/wtmp或/var/log/utmp — 包含登录信息。使用wtmp可以找出谁正在登陆进入系统，谁使用命令显示这个文件或信息等。
10、/var/log/faillog – 包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。

二、日志分析查看——grep，sed，sort，awk运用

tail -400f demo.log  #监控最后400行日志文件的变化 等价与 tail -n 400 -f （-f参数是实时）  
less demo.log  #查看日志文件，支持上下滚屏，查找功能  
uniq -c demo.log   #标记该行重复的数量，不重复值为1  

1、查找关键日志grep（过滤器）
规则：grep [选项]...模式 [文件]... （模式是正则表达式）

2、精简日志内容 sed （修改器）
1）sed [-n][-e] '命令' 文件
-n选项是默认不输出信息，除非使用了p命令或者是s命令的p标志符；-e是表明空格后面接的是一个命令。
2）sed [-n] -f 脚本 文件
这个用法是把命令写在脚本里。

3、对记录进行排序 sort

4、统计日志相关记录数 awk