/var/log/message
记录了系统日常的一些操作,内核态和用户态的信息都有,对于这个文件,我们日常只需要关注一些错误和告警信息:
egrep -ri 'error|warn' /var/log/messages /var/log/lastlog 不用直接查看该日志文件,通过命令:lastlog 查看 /var/log/secure
linux登陆验证日志/var/log/secure 定期分析此文件很有必要,
grep ‘root’ /var/log/secure | awk ‘{print $11}’ | sort | uniq -c | sort -nr
/var/log/btmp
记录Linux登陆失败的用户、时间以及远程IP地址,查看命名lastb
/var/log/wtmp
该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件,使用last命令查看