Ubuntu日志记录哪些关键信息
导读:Ubuntu日志记录的关键信息 一 核心日志文件与记录内容 下表汇总了常见日志文件(位于**/var/log/**)及其记录的关键信息,便于快速定位问题与安全审计。 日志文件 关键信息 /var/log/syslog 系统...
Ubuntu日志记录的关键信息
一 核心日志文件与记录内容
- 下表汇总了常见日志文件(位于**/var/log/**)及其记录的关键信息,便于快速定位问题与安全审计。
| 日志文件 | 关键信息 |
|---|---|
| /var/log/syslog | 系统全局日志,涵盖多数系统事件、服务消息、错误与警告,是排查综合问题的一站式入口 |
| /var/log/auth.log | 登录与认证事件,如 SSH 登录、sudo 使用、PAM 认证结果,安全审计重点 |
| /var/log/kern.log | 内核日志,硬件与驱动问题、内核报错、OOM 等 |
| /var/log/dmesg | 内核环缓冲区消息,系统启动阶段硬件检测与驱动初始化输出 |
| /var/log/boot.log | 系统启动过程日志(各服务的启动/失败信息) |
| /var/log/dpkg.log | APT/dpkg 包管理安装、升级、移除的详细记录 |
| /var/log/apt/ | apt 执行过程与事务日志(如 history.log) |
| /var/log/cron | 定时任务(cron)执行情况与错误 |
| /var/log/ufw.log | 防火墙(UFW)放行/拒绝的网络连接记录 |
| /var/log/mail.log / mail.err | 邮件服务(MTA)收发与错误信息 |
| /var/log/Xorg.*.log | X11/图形会话启动与运行日志(显卡/输入设备相关) |
| /var/log/apport.log | 程序崩溃(异常退出)报告与堆栈信息 |
| /var/log/lastlog | 每个用户最近一次登录时间、终端与来源(需用 lastlog 命令读取) |
| /var/log/wtmp | 用户登录/注销历史(用 last 命令查看) |
| /var/log/btmp | 失败登录尝试记录(用 lastb 命令查看) |
| /var/log/faillog | 登录失败计数与信息(用 faillog 命令查看) |
| /var/log/daemon.log | 各类系统守护进程的运行日志 |
| /var/log/user.log | 用户级进程产生的日志 |
| /var/log/cups/ | 打印系统(CUPS)日志 |
| /var/log/samba/ | Samba 文件共享相关日志 |
| /var/log/lightdm/ | 显示管理器(LightDM)会话日志 |
| /var/log/uucp/ | UUCP 通信相关日志(如存在) |
| /var/log/debug | 调试级信息与更细粒度的诊断输出(如启用) |
| 应用专属目录 | 例如 /var/log/apache2/、/var/log/mysql/ 等,记录各应用的访问与错误日志 |
二 systemd 日志的关键信息
- 通过 systemd-journald 与 journalctl 汇聚来自内核、系统服务与用户会话的日志,支持按服务单元、时间范围、优先级等维度检索。
- 常用检索示例:
- 查看本次启动日志:journalctl -b
- 按时间过滤:journalctl --since “2025-12-07 00:00:00” --until “2025-12-07 12:00:00”
- 按服务过滤:journalctl -u nginx.service
- 按优先级过滤:journalctl -p 3(仅错误级别)
- 查看引导列表并定位异常:journalctl --list-boots,随后用 journalctl -b -NUM 查看对应一次引导的详细日志。
三 登录与会话审计的关键信息
- /var/log/auth.log:记录所有与认证与授权相关的事件,如 SSH 成功/失败登录、sudo 提权等,是入侵排查的首要位置。
- /var/log/wtmp:记录成功登录/注销会话历史,使用 last 命令查看完整时序。
- /var/log/btmp:记录失败登录尝试,使用 lastb 命令查看,有助于发现暴力破解迹象。
- /var/log/lastlog:记录每个用户最近一次登录信息,使用 lastlog 命令查看。
- /var/log/faillog:记录登录失败计数与相关信息,使用 faillog 命令查看。
四 系统运行与维护的关键信息
- /var/log/syslog:全局系统消息,覆盖多数服务与内核事件,是通用排障入口。
- /var/log/kern.log:内核相关日志,便于定位驱动/硬件问题。
- /var/log/dmesg:启动阶段的内核输出,快速查看硬件检测与驱动初始化信息。
- /var/log/boot.log:系统启动过程日志,定位服务启动失败原因。
- /var/log/dpkg.log、/var/log/apt/:软件包安装/升级/移除与事务历史,便于回滚与审计。
- /var/log/cron:定时任务执行记录与错误,排查计划任务未执行/异常退出。
- /var/log/ufw.log:防火墙规则命中与拒绝的网络连接,辅助安全分析。
- /var/log/mail.log、/var/log/mail.err:邮件服务收发与错误信息,定位投递/连接问题。
- /var/log/Xorg.*.log:图形会话日志,定位显卡驱动、输入设备问题。
- /var/log/apport.log:程序崩溃自动报告,包含堆栈与触发条件,便于开发者修复。
五 日志轮转与保留
- 日志通常由 logrotate 按日/周轮转并压缩归档,避免无限增长;常见策略包括保留7 天、压缩旧日志、按大小分割等,配置文件位于 /etc/logrotate.conf 与 /etc/logrotate.d/ 目录。
- 示例(全局策略片段):
- /var/log/*.log { daily; missingok; rotate 7; compress; notifempty; create 640 root adm; }
声明:本文内容由网友自发贡献,本站不承担相应法律责任。对本内容有异议或投诉,请联系2913721942#qq.com核实处理,我们将尽快回复您,谢谢合作!
若转载请注明出处: Ubuntu日志记录哪些关键信息
本文地址: https://pptw.com/jishu/765969.html