譽(yù)天Cisco/Linux認(rèn)證社區(qū)/BBS武漢譽(yù)天.獨(dú)家授權(quán)Cisco/RHCE培訓(xùn)譽(yù)天Cisco/Linux認(rèn)證社區(qū)/BBS武漢譽(yù)天.獨(dú)家授權(quán)Cisco/RHCE培訓(xùn)linuxlog日志查看【syslogd+logrotate】其實(shí)，可以說成是監(jiān)控系統(tǒng)的記錄，系統(tǒng)一舉一動(dòng)基本會(huì)記錄下來。這樣由于信息非常全面很重要，通常只有root可以進(jìn)行視察！通過登錄文件（日志文件）可以根據(jù)屏幕上面的錯(cuò)誤訊息與再配合登錄文件的錯(cuò)誤信息，幾乎就可以解決大部分的Linux問題！所以日志文件異常重要，作為一個(gè)合格的linux系統(tǒng)工程師，日志文件是必要熟練掌握的部分。常見的幾個(gè)登錄文件有：/var/log/secure：記錄登入系統(tǒng)存取數(shù)據(jù)的文件，例如pop3,ssh,telnet,ftp等都會(huì)被記錄；/var/log/wtmp：記錄登入者的訊息數(shù)據(jù)，由于本文件已經(jīng)被編碼過，所以必須使用last指令來取出文件的內(nèi)容；/var/log/messages：尤為重要，幾乎發(fā)生的錯(cuò)誤訊息（或是重要信息）都會(huì)被記錄在此；/var/log/boot.log：記錄開機(jī)或者是一些服務(wù)啟動(dòng)的時(shí)候，所顯示的啟動(dòng)或關(guān)閉訊息；/var/log/maillog或/var/log/mail/*：紀(jì)錄郵件存取或往來(sendmail與pop3)的使用者記錄；/var/log/cron：記錄crontab這個(gè)例行性服務(wù)的內(nèi)容的。/var/log/httpd,/var/log/news,/var/log/mysqld.log,/var/log/samba,/var/log/procmail.log：分別是幾個(gè)不同的網(wǎng)絡(luò)服務(wù)的記錄文件！登錄文件的紀(jì)錄程序之一：syslogd通常經(jīng)過syslog而記錄下來的數(shù)據(jù)主要有：事件發(fā)生的日期與時(shí)間；發(fā)生此事件的主機(jī)名稱；啟動(dòng)此事件的服務(wù)名稱(如samba,xinetd等)或函式名稱(如libpam..)；該訊息數(shù)據(jù)內(nèi)容syslogd的daemon配置文件：/etc/syslog.conf內(nèi)容語法是這樣的：服務(wù)名稱[.=!]訊息等級(jí)訊息記錄的文件名或裝置或主機(jī)#例如底下：/var/log/maillog_info服務(wù)名稱：該服務(wù)產(chǎn)生的訊息會(huì)被紀(jì)錄的意思。syslog認(rèn)識(shí)的服務(wù)主要有底下這些：auth,authpriv：主要與認(rèn)證有關(guān)的機(jī)制，例如telnet,login,ssh等需要認(rèn)證的服務(wù)都是使用此一機(jī)制；cron：例行性命令cron/at等產(chǎn)生訊息記錄的地方；daemon：與各個(gè)daemon有關(guān)的訊息；kern：核心(kernel)產(chǎn)生訊息的地方；lpr：打印相關(guān)的訊息！mail：只要與郵件收發(fā)有關(guān)的訊息紀(jì)錄都屬于這個(gè)；news：與新聞群組服務(wù)器有關(guān)的東西；syslog：syslogd這支程序本身產(chǎn)生的信息啊！user,uucp,local0~local7：與Unixlike機(jī)器本身有關(guān)的一些訊息。訊息等級(jí)系統(tǒng)將訊息分為七個(gè)主要的等級(jí)，依序是由不重要排列到重要訊息等級(jí)：info：僅是一些基本的訊息說明而已；notice：比info還需要被注意到的一些信息內(nèi)容；warning或warn：警示訊息，可能有問題，但是還不至于影響到某個(gè)daemon運(yùn)作。err或error：一些重大的錯(cuò)誤訊息，這就要去找原因了。crit：比error還要嚴(yán)重的錯(cuò)誤信息，crit是臨界點(diǎn)(critical)的縮寫，已經(jīng)很嚴(yán)重了！alert：警告警告，已經(jīng)很有問題的等級(jí)，比crit還要嚴(yán)重！emerg或panic：疼痛等級(jí)，意指系統(tǒng)已經(jīng)幾乎要當(dāng)機(jī)的狀態(tài)！很嚴(yán)重的錯(cuò)誤信息了。除了這些有等級(jí)的訊息外，還有兩個(gè)特殊的等級(jí)，那就是debug(錯(cuò)誤偵測(cè)等級(jí))與none(不需登錄等級(jí))兩個(gè)，當(dāng)要作一些錯(cuò)誤偵測(cè)，或者是忽略掉某些服務(wù)的信息時(shí)，就用這倆！在訊息等級(jí)之前還有[.=!]的連結(jié)符號(hào)！他代表的意思是：.：代表比后面還要高的等級(jí)(含該等級(jí))都被記錄下來的意思，例如：代表只要是mail的信息，而且該信息等級(jí)高于info(含info)時(shí)，就會(huì)被記錄下來。.=：代表所需要的等級(jí)就是后面接的等級(jí)而已！.!：代表不等于。日志文件記錄的文件名或裝置或主機(jī)常見的放置處：文件的絕對(duì)路徑：通常就是放在/var/log里頭的文件！打印機(jī)或其它：例如/dev/lp0這個(gè)打印機(jī)裝置（即使被黑客可以刪除掉日志文件，但是終刪除不了打印出來的日志信息）使用者名稱：顯示給使用者！遠(yuǎn)程主機(jī)：例如@，要對(duì)方主機(jī)也能支持才行！*：代表目前在線的所有人，類似wall這個(gè)指令的意義！看看在尚未開啟網(wǎng)絡(luò)服務(wù)的情況下來自FedoraCoreRelease4的相關(guān)資料[root@linux~]#vi/etc/syslog.conf#kern.*/dev/console#只要是kernel產(chǎn)生的訊息，全部都送到console去！默認(rèn)是關(guān)閉的。*.info;mail.none;authpriv.none;cron.none/var/log/messages#在已知各服務(wù)的訊息中，不要記錄到這個(gè)文件中，把已知的服務(wù)記錄到單獨(dú)的日志文件中去，方便日后查詢，否則messages這個(gè)文件就太混亂了。這個(gè)文件非常重要，所有未知的信息都會(huì)被記錄在這個(gè)文件中，所以有問題，找這個(gè)文件就八九不離十了。authpriv.*/var/log/secure#這個(gè)就是經(jīng)過一些身份確認(rèn)的行為之后，需要記錄身份的文件。mail.*-/var/log/maillog#只要跟mail有關(guān)的（不論是pop3還是sendmail）都會(huì)被紀(jì)錄到這個(gè)文件！cron.*/var/log/cron#例行性命令相關(guān)的。*.emerg*#任何時(shí)候發(fā)生的警告訊息都會(huì)顯示給在線的所有人！那個(gè)＊就是目前在線的所有人。uucp,news.crit/var/log/spooler#記錄新聞錯(cuò)誤高于crit的等級(jí)的信息，寫入spooler當(dāng)中！local7.*/var/log/boot.log#將開機(jī)的當(dāng)中的訊息寫入/var/log/boot.log中！每個(gè)版本的syslog.conf差異是很大的，所以，每個(gè)登錄文件記錄的數(shù)據(jù)其實(shí)不很固定。例：讓所有的信息都額外寫入到/var/log/admin.log！[root@linux~]#vi/etc/syslog.conf*.info/var/log/admin.log》》如果服務(wù)器硬盤容量夠大，這么做也不失為一個(gè)良策。[root@linux~]#/etc/init.d/syslogrestart[root@linux~]#ll/var/log/admin.log-rw-------1rootroot122Oct2322:21/var/log/admin.log》》注意權(quán)限一臺(tái)主機(jī)管理多臺(tái)主機(jī)登錄文件#1.先取得portnumber的信息！[root@linux~]#grep514/etc/servicessyslog514/udp》》syslog的固定端口#注意，/etc/services里面必須要存在這一行才行，否則自行手寫！#2.修改syslogd的啟動(dòng)配置文件[root@linux~]#vi/etc/sysconfig/syslog#SYSLOGD_OPTIONS="-m0"改成底下這樣子SYSLOGD_OPTIONS="-m0-r"#3.重新啟動(dòng)與觀察syslogd！[root@linux~]#/etc/init.d/syslogrestart[root@linux~]#netstat-tlunpProtoRecv-QSend-QLocalAddressForeignAddressStatePID/Programnameudp00:514:*24314/syslogdLinux主機(jī)已經(jīng)可以接收來自其它主機(jī)的登錄信息了！client端的設(shè)定就簡(jiǎn)單了！只要指定某個(gè)信息傳送到這部主機(jī)即可！比如，登錄文件主機(jī)IP為00，而client端希望所有的數(shù)據(jù)都送給主機(jī)，可以在/etc/syslog.conf里面新增這樣的一行：[root@linux~]#vi/etc/syslog.conf*.*@00未來主機(jī)上面的登錄文件當(dāng)中，每一行的主機(jī)名稱就會(huì)顯示來自不同主機(jī)的信息了。登錄文件服務(wù)程序之二，輪滾(logrotate)：所謂的logrotate，就是將舊的log文件更名，然后建立一個(gè)空的log文件，如此一來，新的log文件將從零開始記錄，然后只要將舊的log文件留下一段時(shí)間！舊的紀(jì)錄保存了一段時(shí)間沒有問題，那么就可以讓系統(tǒng)自動(dòng)的將他刪掉，否則占用硬盤空間。如圖比如規(guī)定了message日志文件輪滾3次：初的日志文件message輪滾一次后messagemessage1輪滾二次后messagemessage1message2輪滾三次后messagemessage1message2message3》》刪除（如果再次輪滾，message3就會(huì)被刪除，而message2就會(huì)變成message3，且系統(tǒng)會(huì)新建立一個(gè)message）注意，相同顏色的mssage表示的是一個(gè)內(nèi)容的文件，只不過每次輪滾他的名字后面會(huì)改一次數(shù)字。logrotate的配置文件/etc/logrotate.conf/etc/logrotate.d/注意！logrotate.conf才是主要的參數(shù)文件，logrotate.d是一個(gè)目錄，該目錄里面的所有文件都會(huì)被主動(dòng)的讀入/etc/logrotate.conf當(dāng)中來進(jìn)行！另外，在/etc/logrotate.d/里面的文件中，如果沒有規(guī)定到的一些細(xì)部設(shè)定，則以/etc/logrotate.conf的規(guī)定來指定為默認(rèn)值！[root@linux~]#vi/etc/logrotate.conf#底下是"logrotate的預(yù)設(shè)值，如果個(gè)別的文件設(shè)定了其它的參數(shù)，那么將以個(gè)別的文件設(shè)定為主，若該文件沒有設(shè)定到的參數(shù)，則以這個(gè)檔案的內(nèi)容為默認(rèn)值！Weekly》》預(yù)設(shè)每個(gè)禮拜對(duì)登錄文件進(jìn)行一次rotate的工作rotate4》》保留四個(gè)登錄文件！create》》是否建立新的登錄文件來記錄！#compress》》rotate之后的登錄文件，是否壓縮，通常是不要壓縮啦，壓縮登錄文件擴(kuò)展名會(huì)變成messages.1.gz！系統(tǒng)負(fù)載不大，且日志比較大，可以考慮壓縮。include/etc/logrotate.d》》將底下這個(gè)目錄中的所有文件都讀進(jìn)來執(zhí)行rotate的工作！/var/log/wtmp{monthlycreate0664rootutmprotate1}。。。省略。。。#在logrotate.conf文件當(dāng)中，只有這個(gè)數(shù)據(jù)是在記載如何對(duì)登錄文件進(jìn)行輪替的！這個(gè)登錄文件記載的就是使用login登入系統(tǒng)時(shí)的使用者狀態(tài)，last就是讀自/var/log/wtmp當(dāng)中記錄的數(shù)據(jù)！整個(gè)段落的意義是：#1.每個(gè)月進(jìn)行一次logrotate的工作；#2.將文件的權(quán)限設(shè)定為664，且擁有者為root，群組為utmp；#3.僅保存前一個(gè)月的rotate備份！可以修改大一點(diǎn)[root@linux~]#vi/etc/logrotate.d/syslog/var/log/messages/var/log/secure/var/log/maillog/var/log/spooler/var/log/boot.log/var/log/cron{sharedscriptspostrotate/bin/kill-HUP`cat/var/run/syslogd.pid2>/dev/null`2>/dev/null||trueendscript}設(shè)定的項(xiàng)目與前面提到的相同，并且可加入輪替前(pre)與后(post)的一些特殊執(zhí)行的指令！這個(gè)設(shè)定需與sharedscripts....endscript設(shè)定合用才行；prerotate：?jiǎn)?dòng)logrotate之前進(jìn)行的指令，例如修改登錄文件的屬性等動(dòng)作；postrotate：做完logrotate之后啟動(dòng)的指令，例如重新啟動(dòng)(kill-1或kill-HUP)某個(gè)服務(wù)！這一段設(shè)定值說明的是：『/var/log目錄內(nèi)的messages,secure,mailog,spooler,boot.log及cron這六個(gè)文件，每個(gè)禮拜進(jìn)行一次輪替，且保留四個(gè)登錄檔，此外，在輪替進(jìn)行完畢之后，執(zhí)行syslog的重新啟動(dòng)』因?yàn)闆]有提到該設(shè)定項(xiàng)目，所以就用/etc/logrotate.conf內(nèi)的默認(rèn)值來作用解決charrt+a與lorotate矛盾的方法：矛盾處：a屬性會(huì)讓文件只能添加數(shù)據(jù)，不能修改文件名，不能刪除（防止日志文件被入侵，被惡意刪除），而lorotate需要修改文件的文件名。解決辦法就是利用prerotate與postrotate來進(jìn)行登錄文件輪替前、后所需要作的動(dòng)作！可以這樣修改一下這個(gè)文件！[root@linux~]#vi/etc/logrotate.d/syslog/var/log/messages/var/log/secure/var/log/maillog/var/log/spooler/var/log/boot.log/var/log/cron{sharedscriptsprerotate/usr/bin/chattr-a/var/log/messagesendscriptsharedscriptspostrotate/bin/kill-HUP`cat/var/run/syslogd.pid2>/dev/null`2>/dev/null||true/usr/bin/chattr+a/var/log/messagesendscript}特別留意，/bin/kill-HUP...這一行的目的在于將系統(tǒng)的syslogd重新以其參數(shù)(syslog.conf)的資料讀入一次！也可以想成是reload的意思！由于建立了一個(gè)新的空的紀(jì)錄文件，如果不執(zhí)行此一行來重新啟動(dòng)服務(wù)，那么記錄的時(shí)候?qū)?huì)發(fā)生錯(cuò)誤！另外注意顏色字體部分格式，需要配套書寫。實(shí)際測(cè)試logrotate的動(dòng)作[root@linux~]#logrotate[-vf]logfile參數(shù)：-v：?jiǎn)?dòng)顯示模式，會(huì)顯示logrotate運(yùn)作的過程喔！-f：不論是否符合設(shè)定文件的數(shù)據(jù)，強(qiáng)制每個(gè)登錄文件都進(jìn)行rotate的動(dòng)作！例：強(qiáng)制進(jìn)行l(wèi)ogrotate的動(dòng)作[root@linux~]#logrotate-vf/etc/logrotate.conf#此命令屬于企業(yè)危險(xiǎn)命令，因?yàn)榕f的日志對(duì)企業(yè)安全有很大作用，如果強(qiáng)行輪滾，造成提前刪除舊日志文件，可能會(huì)有麻煩，所以不要亂用！預(yù)設(shè)的logrotate的執(zhí)行時(shí)間就是放在/etc/cron.daily/logrotate里面的！由于logrotate的工作已經(jīng)加入crontab里了！所以現(xiàn)在每天系統(tǒng)都會(huì)自動(dòng)的查看logrotate！案例：建立了/var/log/admin.log，想要加上+a屬性，要求：登錄文件輪替一個(gè)月進(jìn)行一次；該登錄文件若大于10MB時(shí)，則主動(dòng)進(jìn)行輪替，不需要考慮一個(gè)月的期限；保存五個(gè)備份文件；備份文件不要壓縮[root@linux~]#chattr+a/var/log/admin.log[root@linux~]#lsattr/var/log/admin.log-----a-------/var/log/admin.log[root@linux~]#mv/var/log/admin.log/var/log/admin.log.1mv:cannotmove'/var/log/admin.log'to'/var/log/admin.log.1':permissiondeny[root@linux~]#vi/etc/logrotate.d/admin#Thisconfigurationisfromlonogo2009/6/26/var/log/admin.log{monthlysize=10Mrotate5nocompresssharedscriptsprerotate/usr/bin/chattr-a/var/log/admin.logendscriptsharedscriptspostrotate/usr/bin/killall-HUPsyslogd/usr/bin/chattr+a/var/log/admin.logendscript}[root@linux~]#logrotate-v/etc/logrotate.conf。。省略。。[root@linux~]#logrotate-vf/etc/logrotate.d/admin》》強(qiáng)行滾一下....省略....[root@linux~]#lsattr/var/log/admin.log*》》看看滾后的文件的權(quán)限變化了-----a-------/var/log/admin.log-------------/var/log/admin.log.1注意，/etc/syslog.conf與/etc/logrotate.d/*通常是配合使用，目錄下的.d目錄下的文件未提及的設(shè)置，會(huì)參考助.conf配置文件的設(shè)置。分析登錄文件dmesg[root@linux~]#dmesg|more由于系統(tǒng)在開機(jī)的過程當(dāng)中尚未將硬盤mount上來，所以無法直接將數(shù)據(jù)直接讀到logfile當(dāng)中去，但是為了除錯(cuò)上面的方便，所以在開機(jī)的過程當(dāng)中的訊息還是要記錄下來，這個(gè)時(shí)候系統(tǒng)就將ram開了一個(gè)小區(qū)塊來儲(chǔ)存這個(gè)數(shù)據(jù)！這個(gè)開機(jī)記錄文件就是：/proc/kmsg！幾乎所有的核心信息都可以使用dmesg來查閱得到的，例想要知道開機(jī)有沒有捉到網(wǎng)卡，dmesg|grep'eth'！last[root@linux~]#last-nnumber[root@linux~]#last-ffilename參數(shù)：-n：last會(huì)讀出這個(gè)月的數(shù)據(jù)，若數(shù)據(jù)量太大，可使用-n來嚴(yán)格要求顯示的筆數(shù)。例如20筆數(shù)據(jù)：last-n20或last-20均可。-f：last預(yù)設(shè)讀出/var/log/wtmp，但是我們可以透過-f讀取不同的登錄文件信息！例,將上個(gè)月的資料讀出，僅讀出5筆資料[root@linux~]#last-n5-f/var/log/wtmp.1dmtsai2pts/2MonOct2414:18-14:18(00:00)dmtsai2work:0workMonOct2414:18gone-nologoutdmtsai2work:0workMonOct2414:18-14:18(00:00)dmtsai2pts/2MonOct2414:18-14:18(00:00)dmtsai2work:0workMonOct2414:18-14:18(00:00)[root@linux~]#lastloglastlog只是讀出/var/log/lastlog內(nèi)的信息.他會(huì)顯示目前系統(tǒng)上面的所有賬號(hào)當(dāng)中，每個(gè)賬號(hào)近一次登入的時(shí)間！Linux系統(tǒng)的LOG日志文件介紹！UNIX網(wǎng)管員主要是靠系統(tǒng)的LOG,來獲得入侵的痕跡.當(dāng)然也有第三方工具記錄入侵系統(tǒng)的痕跡,UNIX系統(tǒng)存放LOG文件,普通位置如下:/usr/adm-早期版本的UNIX/var/adm-新一點(diǎn)的版本使用這個(gè)位置/var/log-一些版本的Solaris,linuxBSD,FreeBSD使用這個(gè)位置/etc-多數(shù)UNIX版本把utmp放在這里，有些也把wtmp放在這里，syslog.conf在這里下面的一些文件根據(jù)你所在的目錄不同而不同：acct或pacct--記錄每個(gè)用戶使用的命令記錄access_log--主要當(dāng)服務(wù)器運(yùn)行NCSAHTTPD時(shí),記錄什么站點(diǎn)連接過你的服務(wù)器aculog--保存著你撥出去的MODEMS記錄lastlog--記錄了用戶近的LOGIN記錄和每個(gè)用戶的初目的地，有時(shí)是后不成功LOGIN的記錄,當(dāng)一個(gè)用戶登陸到unix系統(tǒng)，注冊(cè)程序在lastlog文件中查找該用戶的uid，如果該程序找到了該用戶的uid，unix就會(huì)顯示后一次登陸的時(shí)間和tty（終端號(hào)）loginlog--記錄一些不正常的LOGIN記錄messages--記錄輸出到系統(tǒng)控制臺(tái)的記錄，另外的信息由syslog來生成security--記錄一些使用UUCP系統(tǒng)企圖進(jìn)入限制范圍的事例sulog--記錄使用su命令的記錄．它通常在/var/adm/sulog．如果你在機(jī)器上使用了su命令，別忘了清除哦．utmp--記錄當(dāng)前登錄到系統(tǒng)中的所有用戶，這個(gè)文件伴隨著用戶進(jìn)入和離開系統(tǒng)而不斷變化.它還會(huì)為系統(tǒng)中的用戶保持很長(zhǎng)的歷史記錄，utmp日志通常存放在/var/adm/utmp目錄下．可以用w和who命令查看，其他命令也可以訪問這個(gè)文件．如：fingerroot就可以．現(xiàn)在的utmp一般都有utmpx文件作為日志記錄的補(bǔ)充．utmpx--UTMP的擴(kuò)展wtmp--記錄用戶登錄和退出事件．它和utmp日志文件相似，但它隨著登陸次數(shù)的增加，它會(huì)變的越來越大，有些系統(tǒng)的ftp訪問也在這個(gè)文件里記錄，同時(shí)它也記錄正常的系統(tǒng)退出時(shí)間,可以用ac和last命令訪問．syslog--重要的日志文件，使用syslogd守護(hù)程序來獲得日志信息，通常情況下通過查看/etc/syslog.conf．我們可以知道syslog記錄些什么．缺省時(shí)，它把大多的消息傳給/var/adm/message．/dev/log--一個(gè)UNIX域套接字，接受在本地機(jī)器上運(yùn)行的進(jìn)程所產(chǎn)生的消息/dev/klog--一個(gè)從UNIX內(nèi)核接受消息的設(shè)備514端口--一個(gè)INTERNET套接字，接受其他機(jī)器通過UDP產(chǎn)生的syslog消息。uucp--記錄的UUCP的信息，可以被本地UUCP活動(dòng)更新，也可有遠(yuǎn)程站點(diǎn)發(fā)起的動(dòng)作修改，信息包括發(fā)出和接受的呼叫，發(fā)出的請(qǐng)求，發(fā)送者，發(fā)送時(shí)間和發(fā)送主機(jī)lpd-errs--處理打印機(jī)故障信息的日志ftp日志--執(zhí)行帶-l選項(xiàng)的ftpd能夠獲得記錄功能httpd日志--HTTPD服務(wù)器在日志中記錄每一個(gè)WEB訪問記錄history日志--這個(gè)文件保存了用戶近輸入命令的記錄vold.log--記錄使用外接媒介時(shí)遇到的錯(cuò)誤記錄======================其他類型的日志文件-======================有些類型的LOG文件沒有特定的標(biāo)題，但開始于一個(gè)特定的標(biāo)志，你可以在前面頭發(fā)現(xiàn)如下的標(biāo)志，這就一般表示此是個(gè)LOG日志文件，你就可以編輯它了：xfer--表明試圖一個(gè)禁止的文件傳輸.rexe--表明試圖執(zhí)行一個(gè)不允許的命令還有許多其他其他類型的LOG文件存在，主要是第三方軟件引起的，或者甚至非法字符的網(wǎng)管自己有設(shè)置了一只"眼睛"在他的系統(tǒng)上，所以你要對(duì)你認(rèn)為可能是LOG文件的文件多一份心眼。許多管理員喜歡把日志文件放在同一個(gè)目錄中以便管理，所以你要檢查你發(fā)現(xiàn)的LOG文件所在的目錄中，是否有其他日志文件放在這里，如果有,咯，你知道怎么做。另一個(gè)你要注意的是有關(guān)LOG用戶MAIL的文件，此文件名可以多種多樣，或則有時(shí)是syslog文件的一部分。你要知道syslog記錄那些信息，你可以查看syslog.conf中的信息此文件的目錄是在/etc中一般我們都是查看syslog.conf文件來查看日志的配置情況.例如:cat/etc/syslog.conf其中sunos操作系統(tǒng)的在/var/log和/var/adm下，還有/usr/adm為/var/adm的的鏈接．redhat的在/var/log和/var/run下下面的是sunos5.7中的日志樣本．此外，各種shell還會(huì)記錄用戶使用的命令歷史，它使用用戶主目錄下的文件來記錄這些命令歷史，通常這個(gè)文件的名字為.sh_history(ksh)，.history(csh)，或.bash_history(bash)等。#ls/var/admacctlogmessages.1passwdsulogvold.logaculogmessagesmessages.2sautmpwtmplastlogmessages.0messages.3spellhistutmpxwtmpx#ls/var/logauthlogsyslogsyslog.1syslog.3sysidconfig.logsyslog.0syslog.2syslog.4下面的是redhat9.0中的日志樣本．#ls/var/logboot.logdmesgmessages.2secureuucpboot.log.1htmlaccess.logmessages.3secure.1wtmpboot.log.2httpdmessages.4secure.2wtmp.1boot.log.3lastlognetconf.logsecure.3xferlogboot.log.4mailllognetconf.log.1secure.4xferlog.1cronmaillognetconf.log.2sendmail