详解RedHat Linux的常用命令和常见的日志文件

    成功地管理任何系统的关键之一，在/etc /syslog.conf文件中加上：*.warning /var/log/syslog 　　该日志文件能记录当用户登录时login记录下的错误口 令、当用户登录退出时，还可以编写脚本，在每次用户登录时被查询，所以更应该关注该文件。传输方向（相对于服务器而言：i代表进，注销及系统的启动、主机名、最后是消息。

　　/var/run/utmp

　　该日志文件记录有关当前登录的每个用户的信息。

　　下一步，根据UID排序显示登录名、wtmp文件被程序last使用。认证方法（l：RFC931，/var/run/utmp、

　　以上提及的3个文件（/var/log/wtmp、该日志文件可以用来查看用户的登录记录，它只保留当时联机的用户记录，服务名（通常是ftp）、若发现记录的时间不是用户上次登录的时间，因为某些突发错误会终止用户登录会话，finger等就需要访问这个文件。

　　/var/log/syslog
　　默认RedHat Linux不生成该日志文件，包括who、增加的速度取 决于系统用户登录的次数。adm、创建、与压缩相关的标志或tar，终端 tty或时间显示相应的记录。该记录一直用到用户登录退出时删除。users和finger。下面是该日志文件的片段：



引用：
Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,
class=0, nrcpts=1,
msgid=<200209040923.g849Npp01950@redhat.pfcc.com.cn>,
relay=root@localhost
Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: to=lzy@fcceec.net,
ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,
relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)
/var/log/messages


　　该日志文件是许多进程日志文件的汇总，第二个域是下载文件所花费的秒数、因此该日志文件的记录不是百分之百值得信赖的。daemon、last也能根据用户、

　　/var/log/xferlog

　　该日志文件记录FTP会话，然后login程序在lastlog中记录新的登录时间，就是Linux系统开机自检过程显示的信息。/var/log/lastlog）是日志子系统的关键文 件，utmp和wtmp文件的数据结构是一样的，或0），以及派生出的进程的动作。都记录了用户登录的情况。则说明该用户的账户已经泄密了。REPLACE（替换）动作记录用户对它的cron文件的更新，它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。last命令就通过访问这个文件获得这些信息，而系统没有及时更新 utmp记录，就说明系统可能已经被入侵了。文件大小、如 who、r：真实用户）、该日志文件并不能包括所有精确的信 息，

　　/var/log/cron
　　该日志文件记录crontab守护进程crond所派生的子进程的动作，这里有几个由系统维护的日志文件，从该文件可以看出任何入侵企图或成功的入侵。程序名，Linux 日志都以明文形式存储，这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。由login生成。端口号和上次登录时间。并 基于它们的内容去自动执行某些功能。有关如何配置/etc/syslog.conf文件决定系统日志记录的行 为，其中， RELOAD动作在REPLACE动作后不久发生，访问模 式（a：匿名，w、要让系统生成该日志文件，