bl双性强迫侵犯h_国产在线观看人成激情视频_蜜芽188_被诱拐的少孩全彩啪啪漫画

linux日志監(jiān)控命令,linux日志操作常用命令

如何查看linux系統(tǒng)的進程監(jiān)控日志

cat /var/log/*.log

成都服務器托管,創(chuàng)新互聯(lián)提供包括服務器租用、鄭州服務器托管、帶寬租用、云主機、機柜租用、主機租用托管、CDN網(wǎng)站加速、申請域名等業(yè)務的一體化完整服務。電話咨詢:18980820575

如果日志在更新,如何實時查看 tail -f /var/log/messages

還可以使用 watch -d -n 1 cat /var/log/messages

-d表示高亮不同的地方,-n表示多少秒刷新一次。

該指令,不會直接返回命令行,而是實時打印日志文件中新增加的內(nèi)容,這一特性,對于查看日志是非常有效的。如果想終止輸出,按 Ctrl+C 即可。

在Linux系統(tǒng)中,有三個主要的日志子系統(tǒng):

連接時間日志--由多個程序執(zhí)行,把紀錄寫入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系統(tǒng)管理員能夠跟蹤誰在何時登錄到系統(tǒng)。

進程統(tǒng)計--由系統(tǒng)內(nèi)核執(zhí)行。當一個進程終止時,為每個進程往進程統(tǒng)計文件(pacct或acct)中寫一個紀錄。進程統(tǒng)計的目的是為系統(tǒng)中的基本服務提供命令使用統(tǒng)計。

錯誤日志--由syslogd(8)執(zhí)行。各種系統(tǒng)守護進程、用戶程序和內(nèi)核通過syslog(3)向文件/var/log/messages報告值得注意的事件。另外有許多UNIX程序創(chuàng)建日志。像HTTP和FTP這樣提供網(wǎng)絡服務的服務器也保持詳細的日志。

常用的日志文件如下:

access-log 紀錄HTTP/web的傳輸

acct/pacct 紀錄用戶命令

aculog 紀錄MODEM的活動

btmp紀錄失敗的紀錄

lastlog紀錄最近幾次成功登錄的事件和最后一次不成功的登錄

messages從syslog中記錄信息(有的鏈接到syslog文件)系統(tǒng)啟動后的信息和錯誤日志,是Red Hat Linux中最常用的日志之一

sudolog 紀錄使用sudo發(fā)出的命令

sulog 紀錄使用su命令的使用

syslog 從syslog中記錄信息(通常鏈接到messages文件)

utmp紀錄當前登錄的每個用戶

wtmp一個用戶每次登錄進入和退出時間的永久紀錄

xferlog 紀錄FTP會話

/var/log/secure與安全相關的日志信息

/var/log/maillog 與郵件相關的日志信息

/var/log/cron 與定時任務相關的日志信息

/var/log/spooler 與UUCP和news設備相關的日志信息

/var/log/boot.log 守護進程啟動和停止相關的日志消息

utmp、wtmp和lastlog日志文件是多數(shù)重用UNIX日志子系統(tǒng)的關鍵--保持用戶登錄進入和退出的紀錄。有關當前登錄用戶的信息記錄在文件utmp中;登錄進入和退出紀錄在文件wtmp中;最后一次登錄文件可以用lastlog命令察看。數(shù)據(jù)交換、關機和重起也記錄在wtmp文件中。所有的紀錄都包含時間戳。這些文件(lastlog通常不大)在具有大量用戶的系統(tǒng)中增長十分迅速。例如wtmp文件可以無限增長,除非定期截取。許多系統(tǒng)以一天或者一周為單位把wtmp配置成循環(huán)使用。它通常由cron運行的腳本來修改。這些腳本重新命名并循環(huán)使用wtmp文件。通常,wtmp在第一天結(jié)束后命名為wtmp.1;第二天后wtmp.1變?yōu)閣tmp.2等等,直到wtmp.7。

每次有一個用戶登錄時,login程序在文件lastlog中察看用戶的UID。如果找到了,則把用戶上次登錄、退出時間和主機名寫到標準輸出中,然后login程序在lastlog中紀錄新的登錄時間。在新的lastlog紀錄寫入后,utmp文件打開并插入用戶的utmp紀錄。該紀錄一直用到用戶登錄退出時刪除。utmp文件被各種命令文件使用,包括who、w、users和finger。

下一步,login程序打開文件wtmp附加用戶的utmp紀錄。當用戶登錄退出時,具有更新時間戳的同一utmp紀錄附加到文件中。wtmp文件被程序last和ac使用。

具體命令

wtmp和utmp文件都是二進制文件,他們不能被諸如tail命令剪貼或合并(使用cat命令)。用戶需要使用who、w、users、last和ac來使用這兩個文件包含的信息。

who:who命令查詢utmp文件并報告當前登錄的每個用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠程主機。例如:who(回車)顯示

chyang pts/0 Aug 18 15:06

ynguo pts/2 Aug 18 15:32

ynguo pts/3 Aug 18 13:55

lewis pts/4 Aug 18 13:35

ynguo pts/7 Aug 18 14:12

ylou pts/8 Aug 18 14:15

如果指明了wtmp文件名,則who命令查詢所有以前的紀錄。命令who /var/log/wtmp將報告自從wtmp文件創(chuàng)建或刪改以來的每一次登錄。

w:w命令查詢utmp文件并顯示當前系統(tǒng)中每個用戶和它所運行的進程信息。例如:w(回車)顯示:3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27。

USER TTYFROM LOGIN@ IDLE JCPU PCPUWHAT

chyang pts/0 202.38.68.2423:06pm 2:04 0.08s 0.04s -bash

ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w

lewis pts/3 202.38.64.2331:55pm 30:39 0.27s 0.22s -bash

lewis pts/4 202.38.64.2331:35pm 6.00s 4.03s 0.01s sh /home/users/

ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail

yloupts/8 202.38.64.2352:15pm 1:09m 0.10s 0.04s-bash

users:users用單獨的一行打印出當前登錄的用戶,每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個登錄會話,那他的用戶名將顯示相同的次數(shù)。例如:users(回車)顯示:chyang lewis lewis ylou ynguo ynguo

 last:last命令往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶。例如:

chyang pts/9202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)

cfanpts/6202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)

chyang pts/4202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)

lewis pts/3202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)

lewis pts/2202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)

如果指明了用戶,那么last只報告該用戶的近期活動,例如:last ynguo(回車)顯示:

ynguopts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)

ynguopts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)

ynguopts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)

ynguopts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)

ynguopts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)

ynguopts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)

ynguopts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)

ac:ac命令根據(jù)當前的/var/log/wtmp文件中的登錄進入和退出來報告用戶連結(jié)的時間(小時),如果不使用標志,則報告總的時間。例如:ac(回車)顯示:total 5177.47

ac -d(回車)顯示每天的總的連結(jié)時間

Aug 12 total 261.87

Aug 13 total 351.39

Aug 14 total 396.09

Aug 15 total 462.63

Aug 16 total 270.45

Aug 17 total 104.29

Today total 179.00

ac -p (回車)顯示每個用戶的總的連接時間

ynguo 193.23

yucao 3.35

rong 133.40

hdai 10.52

zjzhu 52.87

zqzhou 13.14

liangliu 24.34

total 5178.22

lastlog:lastlog文件在每次有用戶登錄時被查詢。可以使用lastlog命令來檢查某特定用戶上次登錄的時間,并格式化輸出上次登錄日志/var/log/lastlog的內(nèi)容。它根據(jù)UID排序顯示登錄名、端口號(tty)和上次登錄時間。如果一個用戶從未登錄過,lastlog顯示"**Never logged**。注意需要以root運行該命令,例如:

rong5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000

dbb **Never logged in**

xinchen **Never logged in**

pb9511 **Never logged in**

xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000

另外,可一加一些參數(shù),例如,lastlog -u 102將報告UID為102的用戶;lastlog -t 7表示限制上一周的報告。

linux服務器中怎么查看日志內(nèi)容

登錄

kbkiss

Linux查看日志常用命令

1.查看日志常用命令

tail:

?-n ?是顯示行號;相當于nl命令;例子如下:

? ? ??tail -100f test.log ? ? ?實時監(jiān)控100行日志

? ? ? tail? -n? 10? test.log ? 查詢?nèi)罩疚膊孔詈?0行的日志;

? ? ? tail -n +10 test.log??? 查詢10行之后的所有日志;

head:

? 跟tail是相反的,tail是看后多少行日志;例子如下:

? ? ? head -n 10? test.log ? 查詢?nèi)罩疚募械念^10行日志;

? ? ? head -n -10? test.log ? 查詢?nèi)罩疚募俗詈?0行的其他所有日志;

cat:

? tac是倒序查看,是cat單詞反寫;例子如下:

? ? cat -n test.log |grep "debug" ? 查詢關鍵字的日志

2. 應用場景一:按行號查看---過濾出關鍵字附近的日志

1)cat -n test.log |grep "debug"? 得到關鍵日志的行號

2)cat -n test.log |tail -n +92|head -n 20 ?選擇關鍵字所在的中間一行. 然后查看這個關鍵字前10行和后10行的日志:

? ? ? tail -n +92表示查詢92行之后的日志

? ? ? head -n 20 則表示在前面的查詢結(jié)果里再查前20條記錄

3. 應用場景二:根據(jù)日期查詢?nèi)罩?/p>

sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p'? test.log

特別說明:上面的兩個日期必須是日志中打印出來的日志,否則無效;

? ? ? ? ? ? ? ? 先 grep '2014-12-17 16:17:20' test.log 來確定日志中是否有該 時間點

4.應用場景三:日志內(nèi)容特別多,打印在屏幕上不方便查看

(1)使用more和less命令,

? ? ?如: cat -n test.log |grep "debug" |more???? 這樣就分頁打印了,通過點擊空格鍵翻頁

(2)使用 xxx.txt 將其保存到文件中,到時可以拉下這個文件分析

? ? ? 如:cat -n test.log |grep "debug"? debug.txt

linux日志 audit

我們知道在Linux系統(tǒng)中有大量的日志文件可以用于查看應用程序的各種信息,但是對于用戶的操作行為(如某用戶修改刪除了某文件)卻無法通過這些日志文件來查看,如果我們想實現(xiàn)監(jiān)管企業(yè)員工的操作行為就需要開啟審計功能,也就是audit。

1、首先執(zhí)行以下命令開啟auditd服務

| 1 | service auditd start |

2、接著查看看auditd的服務狀態(tài),有兩種方法可以實現(xiàn),使用auditctl命令時主要看enabled是否為1,1為開啟,0為關閉

[root@ns-master-c01 ~]``# service auditd status` |

`auditd (pid 20594) is running...

[root@ns-master-c01 ~]``# auditctl -s

| 5 | AUDIT_STATUS: enabled=1 flag=1 pid=20594 rate_limit=0 backlog_limit=320 lost=0 backlog=0 |

3、開啟了autid服務后,所有的審計日志會記錄在/var/log/audit/audit.log文件中,該文件記錄格式是每行以type開頭,其中紅框處是事件發(fā)生的時間(代表從1970年1月1日到現(xiàn)在過了多久,可以用date命令轉(zhuǎn)換格式),冒號后面的數(shù)字是事件ID,同一個事件ID是一樣的。

4、audit可以自定義對指定的文件或命令進行審計(如監(jiān)視rm命令被執(zhí)行、/etc/passwd文件內(nèi)容被改變),只要配置好對應規(guī)則即可,配置規(guī)則可以通過命令行(臨時生效)或者編輯配置文件(永久生效)兩種方式來實現(xiàn)。

命令行語法(臨時生效****)****:

| 1 | auditctl -w /bin/``rm -p x -k removefile ``#-w指定所要監(jiān)控的文件或命令 |

| 2 | #-p指定監(jiān)控屬性,如x執(zhí)行、w修改 |

| 3 | #-k是設置一個關鍵詞用于查詢 |

編輯配置文件(****永久生效)****:

auditd的配置文件為/etc/audit/audit下的auditd.conf 和audit.rules,auditd.conf 主要是定義了auditd服務日志和性能等相關配置,audit.rules才是定義規(guī)則的文件,下面是一個例子,其實就是把auditctl的命令直接拿過來即可,auditctl里支持的選項都可以在這個文件里指定

修改完后重啟服務

| 1 | service auditd restart |

5、如果直接使用tailf等查看工具進行日志分析會比較麻煩,好在audit已經(jīng)提供了一個更好的事件查看工具—— ausea****rch, 使用auserach -h查看下該命令的用法:

這里列出幾個常用的選項:

-a number #只顯示事件ID為指定數(shù)字的日志信息,如只顯示926事件:ausearch -a 926

-c commond #只顯示和指定命令有關的事件,如只顯示rm命令產(chǎn)生的事件:auserach -c rm

-i #顯示出的信息更清晰,如事件時間、相關用戶名都會直接顯示出來,而不再是數(shù)字形式

-k #顯示出和之前auditctl -k所定義的關鍵詞相匹配的事件信息

通過下圖可以看到每個事件被虛線分開,用戶名和執(zhí)行的操作也都能清晰的看到了:

6、使用auditctl還可以查看和清空規(guī)則

查看源碼

embed width="16" height="16" id="highlighter_638828_clipboard" type="application/x-shockwave-flash" title="復制到剪貼板" allowscriptaccess="always" wmode="transparent" flashvars="highlighterId=highlighter_638828" menu="false" src="" style="margin: 0px; padding: 0px; outline: 0px; zoom: 1; max-width: 96%;"

摘自

| 1 | auditctl -l 查看定義的規(guī)則 |

| 2 | auditctl -D 清空定義的規(guī)則 |

Linux查看系統(tǒng)日志的一些常用命令

last

-a 把從何處登入系統(tǒng)的主機名稱或ip地址,顯示在最后一行。

-d 指定記錄文件。指定記錄文件。將IP地址轉(zhuǎn)換成主機名稱。

-f 記錄文件 指定記錄文件。

-n 顯示列數(shù)或-顯示列數(shù) 設置列出名單的顯示列數(shù)。

-R 不顯示登入系統(tǒng)的主機名稱或IP地址。

-x 顯示系統(tǒng)關機,重新開機,以及執(zhí)行等級的改變等信息

以下看所有的重啟、關機記錄

last | grep reboot

last | grep shutdown

history

列出所有的歷史記錄:

[zzs@Linux] # history

只列出最近10條記錄:

[zzs@linux] # history 10 (注,history和10中間有空格)

使用命令記錄號碼執(zhí)行命令,執(zhí)行歷史清單中的第99條命令

[zzs@linux] #!99 (!和99中間沒有空格)

重復執(zhí)行上一個命令

[zzs@linux] #!!

執(zhí)行最后一次以rpm開頭的'命令(!? ?代表的是字符串,這個String可以隨便輸,Shell會從最后一條歷史命令向前搜索,最先匹配的一條命令將會得到執(zhí)行。)

[zzs@linux] #!rpm

逐屏列出所有的歷史記錄:

[zzs@linux]# history | more

立即清空history當前所有歷史命令的記錄

[zzs@linux] #history -c

cat, tail 和 watch

系統(tǒng)所有的日志都在 /var/log 下面自己看(具體用途可以自己查,附錄列出一些常用的日志)

cat /var/log/syslog 等

cat /var/log/*.log

tail -f

如果日志在更新,如何實時查看 tail -f /var/log/messages

還可以使用 watch -d -n 1 cat /var/log/messages

-d表示高亮不同的地方,-n表示多少秒刷新一次。

該指令,不會直接返回命令行,而是實時打印日志文件中新增加的內(nèi)容,

這一特性,對于查看日志是非常有效的。如果想終止輸出,按 Ctrl+C 即可。

除此之外還有more, less ,dmesg|more,這里就不作一一列舉了,因為命令太多了,關鍵看個人喜好和業(yè)務需求.個人常用的就是以上那些

linux日志文件說明

/var/log/message 系統(tǒng)啟動后的信息和錯誤日志,是Red Hat Linux中最常用的日志之一

/var/log/secure 與安全相關的日志信息

/var/log/maillog 與郵件相關的日志信息

/var/log/cron 與定時任務相關的日志信息

/var/log/spooler 與UUCP和news設備相關的日志信息

/var/log/boot.log 守護進程啟動和停止相關的日志消息

/var/log/wtmp 該日志文件永久記錄每個用戶登錄、注銷及系統(tǒng)的啟動、停機的事件

Linux日志管理五大命令有哪些詳解

1、who命令

who命令查詢utmp文件并報告當前登錄的每個用戶。Who的缺省輸出包括用戶名、終端類型、登錄日期及遠程主機。使用該命令,系統(tǒng)管理員可以查看當前系統(tǒng)存在哪些不法用戶,從而對其進行審計和處理。例如:運行who命令顯示如下所示:

#?who

root?????pts/1????????2010-02-22?13:02?(:0.0)

root?????pts/2????????2010-02-22?15:57?(:0.0)

root?????pts/3????????2010-02-22?15:57?(:0.0)

如果指明了wtmp文件名,則who命令查詢所有以前的記錄。命令who /var/log/wtmp將報告自從wtmp文件創(chuàng)建或刪改以來的每一次登錄。例如:運行該命令如下所示:

root?????:0???????????2010-01-24?21:47

root?????pts/1????????2010-01-24?21:47?(:0.0)

root?????:0???????????2010-02-20?19:36

root?????pts/1????????2010-02-20?19:36?(:0.0)

root?????:0???????????2010-02-21?15:21

root?????pts/1????????2010-02-21?15:56?(:0.0)

root?????pts/2????????2010-02-21?16:03?(:0.0)

root?????:0???????????2010-02-22?13:01

root?????pts/1????????2010-02-22?13:02?(:0.0)

root?????pts/2????????2010-02-22?15:57?(:0.0)

root?????pts/3????????2010-02-22?15:57?(:0.0)

2、user命令

users用單獨的一行打印出當前登錄的用戶,每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個登錄會話,那他的用戶名將顯示相同的次數(shù)。運行該命令將如下所示:

# users

root root root

3、last 命令

last命令往回搜索wtmp來顯示自從文件第一次創(chuàng)建以來登錄過的用戶。系統(tǒng)管理員可以周期性地對這些用戶的登錄情況進行審計和考核,從而發(fā)現(xiàn)起中存在的問題,確定不法用戶,并進行處理。運行該命令,如下所示:

# last

root???? pts/3??????? :0.0???????????? Mon Feb 22 15:57?? still logged in

root???? pts/2??????? :0.0???????????? Mon Feb 22 15:57?? still logged in

root???? pts/1??????? :0.0???????????? Mon Feb 22 13:02?? still logged in

root???? :0??????????????????????????? Mon Feb 22 13:01?? still logged in

reboot?? system boot? 2.6.18-8.el5???? Mon Feb 22 12:56????????? (03:02)

root???? pts/2??????? :0.0???????????? Sun Feb 21 16:03 - down?? (02:37)

4、ac命令

ac命令根據(jù)當前的/var/log/wtmp文件中的登錄進入和退出來報告用戶連結(jié)的時間(小時),如果不使用標志,則報告總的時間。例如:ac(回車)顯示:total 18.47,如下所示:

# ac

total?????? 18.47

另外,可加一些參數(shù),例如,last -u 102將報告UID為102的用戶;last -t 7表示限制上一周的報告。

5、lastlog命令

lastlog文件在每次有用戶登錄時被查詢。可以使用lastlog命令檢查某特定用戶上次登錄的時間,并格式化輸出上次登錄日志/var/log/lastlog的內(nèi)容。它根據(jù)UID排序顯示登錄名、端口號(tty)和上次登錄時間。如果一個用戶從未登錄過,lastlog顯示**Never logged**。注意需要以root身份運行該命令。

參考資料:《Linux如何學》,部分來源網(wǎng)絡

分享名稱:linux日志監(jiān)控命令,linux日志操作常用命令
本文路徑:http://vcdvsql.cn/article40/dsigdeo.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供手機網(wǎng)站建設外貿(mào)建站關鍵詞優(yōu)化網(wǎng)站維護網(wǎng)站建設網(wǎng)站排名

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

外貿(mào)網(wǎng)站制作