日誌是系統管理裏最重要組成部分之一。常用的日誌文件如下:
access-log 紀錄HTTP/web的傳輸
acct/pact 紀錄用戶命令
aculog 紀錄MODEM的活動
btmp 紀錄失敗的紀錄
lastlog 紀錄最近幾次成功登錄的事件和最後一次不成功的登錄
messages 從syslog中記錄信息(有的鏈接到syslog文件)
sudolog 紀錄使用sudo發出的命令
sulog 紀錄使用su命令的使用
syslog 從syslog中記錄信息(通常鏈接到messages文件)
utmp 紀錄當前登錄的每個用戶
wtmp 一個用戶每次登錄進入和退出時間的永久紀錄
xferlog 紀錄FTP會話
lastlog 記錄每個用戶的最近一次的登陸時間和每個用戶的最初目的地
utmp
日誌記錄以前登陸到系統中的所有用戶。這個文件隨着用進入和離開系統而不斷的變化,它還會爲系統中的用戶保持很長的歷史記錄,utmp日誌通常存儲在/etc/utmp,可以使用w 和who 命令查看utmp。現在的utmp一般都有一個utmpx文件做爲日誌記錄的補充。
wtmp
記錄用戶登陸和退出事件,它和utmp類似。但它隨着登陸的次數的增加它會變得越來越大.有些系統的ftp訪問也在這個文件裏記錄。同時它也記錄正常的系統退出時間。可以使用last和ac命令訪問它。
syslog & messages
通過查看/etc/syslog.conf我們可以知道syslog記錄些什麼。很多各種各樣的程序產生的日誌都由它記錄。同時它還有一個syslogd進程爲它服務。在缺省時,它把大多的信息傳給/var/adm/messages
sulog sulog爲切換用戶命令su的使用記錄日誌,通常在/var/adm/sulog 。
shell記錄
.sh_history (ksh),.history(csh),或.bash_history(bash)等,是shell執行時的歷史記錄。記錄用戶執行的命令。它一般存在 於用戶的主目錄。