系统核心日志

1️⃣ messages / syslog

• 含义：系统主日志文件，记录系统的一般信息

• 内容：非关键系统消息、服务启动 / 停止信息等

• 查看：tail -f /var/log/messages

2️⃣ dmesg

• 含义：内核环形缓冲区日志

• 内容：系统启动时的硬件检测信息、驱动加载情况

• 查看：dmesg 或 cat /var/log/dmesg

3️⃣ kern.log

• 含义：内核日志

• 内容：内核产生的所有消息

认证与安全相关

4️⃣ auth.log / secure

• 含义：认证日志

• 内容：

  • 用户登录 / 登出记录

  • sudo 命令执行记录

  • SSH 登录尝试

  • 密码修改记录

• 重要性：⭐⭐⭐⭐⭐ 安全审计必看

5️⃣ faillog

• 含义：登录失败记录

• 查看：faillog 命令

6️⃣ lastlog

• 含义：所有用户最后一次登录信息

• 查看：lastlog 命令

用户活动日志

7️⃣ wtmp

• 含义：登录历史记录（二进制文件）

• 查看：last 命令

• 内容：成功登录的用户、登录时间、登出时间

8️⃣ btmp

• 含义：失败登录尝试记录（二进制文件）

• 查看：lastb 命令

• 用途：检测暴力破解攻击

9️⃣ utmp

• 含义：当前登录用户信息

• 查看：who 或 w 命令

系统服务日志

🔟 cron

• 含义：定时任务日志

• 内容：cron 作业执行记录

1️⃣1️⃣ daemon.log

• 含义：后台守护进程日志

1️⃣2️⃣ boot.log

• 含义：系统启动日志

• 内容：启动过程中的服务状态

应用程序日志

1️⃣3️⃣ apache2/ 或 httpd/

• 含义：Apache Web 服务器日志

• 文件：

  • access.log - 访问日志

  • error.log - 错误日志

1️⃣4️⃣ nginx/

• 含义：Nginx Web 服务器日志

• 文件：

  • access.log

  • error.log

1️⃣5️⃣ mysql/ 或 mariadb/

• 含义：数据库日志

• 文件：

  • error.log - 错误日志

  • slow.log - 慢查询日志

1️⃣6️⃣ mail.log / maillog

• 含义：邮件服务日志

包管理日志

1️⃣7️⃣ apt/ (Debian/Ubuntu)

• 文件：

  • history.log - 安装 / 删除历史

  • term.log - 终端输出

1️⃣8️⃣ yum.log / dnf.log (RedHat/CentOS)

• 含义：软件包管理操作记录

其他重要日志

1️⃣9️⃣ Xorg.0.log

• 含义：X Window 系统日志

• 用途：排查图形界面问题

2️⃣0️⃣ alternatives.log

• 含义：系统替代项配置变更日志

2️⃣1️⃣ dpkg.log

• 含义：Debian 包管理详细日志

💡 实用技巧

# 实时查看日志
tail -f /var/log/syslog

# 查看最近100行
tail -n 100 /var/log/auth.log

# 搜索特定内容
grep "Failed password" /var/log/auth.log

# 统计失败登录次数
grep "Failed password" /var/log/auth.log | wc -l

# 使用journalctl（systemd系统）
journalctl -xe  # 查看最近错误
journalctl -u nginx.service  # 查看特定服务

⚠️ 注意事项

1. 权限要求：大部分日志文件需要 root 权限才能查看

2. 日志轮转：系统会定期归档旧日志（logrotate），压缩文件通常以 .gz 结尾

3. 磁盘空间：定期检查日志大小，避免占满磁盘