[TOC] ## 存放目录 ~~~ /var/log/ ~~~ ## 记录登录进入、退出、数据交换、关机和重启,即last，是一个二进制文件，可以使用last查看 ~~~ /var/log/wtmp ~~~ ## 记录与定时任务相关的日志信息 ~~~ /var/log/cron ~~~ ## 记录系统启动后的信息和错误日志 ~~~ /var/log/messages ~~~ ## 记录Apache的访问日志 ~~~ /var/log/apache2/access.log ~~~ ## 记录系统授权信息，包括用户登录和使用的权限机制等 ~~~ /var/log/auth.log ~~~ ## 记录所有等级用户信息的日志 ~~~ /var/log/userlog ~~~ ## 记录linux FTP的日志 ~~~ /var/log/xferlog(vsftpd.log) ~~~ ## 记录登录的用户，可以使用命令lastlog查看 ~~~ /var/log/lastlog ~~~ ## 记录大多数应用输入的账户和密码，以及登录成功与否 ~~~ /var/log/secure ~~~ ## 记录登录系统不成功的账号信息 ~~~ /var/log/faillog ~~~ ## 查看邮件相关记录文件 ~~~ ls -alt /var/spool/mail ~~~ ## 可发现对80端口的攻击行为（当web访问异常时，及时向当前系统配置的邮箱地址发送报警邮件） ~~~ cat /var/spool/mail/root ~~~ ## 对linux系统日志分析主要使用 grep sed sort awk 等命令 ~~~ • tail -n 10 test.log: 查看最后10行日志 • tail -n +10 test.log: 查看10之后的所有日志 • head -n 10 test.log: 查询头10行的日志 • head -n -10 test.log: 查询除了最后10条的所有日志 ~~~ ## 在 \*.log 日志文件中统计独立IP地址个数的命令 ~~~ • awk '{print $1}' test.log | sort | uniq | wc -l • awk '{print $1}' /access.log | sort | uni1 -c | sort -nr| head -10 ~~~ ## 查找指定时间段日志的命令 ~~~ • sed -n '/2020-12-17 16:17:20/,/2020-12-17 16:17:36/p' test.log • grep '2020-12-17 16:17:20' test.log ~~~