centos日志文件在哪找

CentOS 日志文件位置与查看方法

一核心目录

绝大多数日志集中在 /var/log/。常见子目录与文件包括：/var/log/messages（系统一般信息）、/var/log/secure（认证与登录，如 SSH、sudo）、/var/log/cron（定时任务）、/var/log/boot.log（开机引导）、/var/log/dmesg（内核启动与硬件消息）、/var/log/maillog（邮件服务）、/var/log/httpd/（Apache 访问与错误日志）、/var/log/mysqld.log 或 /var/log/mysql/error.log（MySQL）、以及 /var/log/audit/audit.log（审计日志）。

二常见日志与用途

路径	用途
/var/log/messages	系统一般信息、警告与错误（非认证类）
/var/log/secure	登录认证与安全事件（如 SSH、sudo）
/var/log/cron	crond 定时任务的执行记录
/var/log/boot.log	系统启动过程信息
/var/log/dmesg	内核环缓冲区消息（也可用命令 `dmesg` 查看）
/var/log/maillog	邮件收发日志
/var/log/httpd/access_log、/var/log/httpd/error_log	Apache 访问与错误日志
/var/log/mysqld.log 或 /var/log/mysql/error.log	MySQL 运行与错误日志
/var/log/audit/audit.log	auditd 审计日志（系统调用、文件访问等）
/var/log/wtmp	登录/注销历史（二进制，用 `last` 查看）
/var/log/btmp	失败登录尝试（二进制，用 `lastb` 查看）
/var/log/lastlog	各用户最近一次登录信息（用 `lastlog` 查看）
/var/run/utmp	当前登录会话（用 `who`、`w`、`users` 查看）
/var/log/yum.log	YUM 包管理操作历史
说明：不同版本或最小化安装时，个别文件（如 /var/log/syslog）可能不存在或为空；/var/log/secure 与 /var/log/auth.log 在不同发行版/配置下可能只存在其一。

三常用查看命令

查看系统日志文件
- 分页查看：less /var/log/messages、less /var/log/secure
- 实时跟踪：tail -f /var/log/messages
查看内核与启动日志
- 查看内核环缓冲：dmesg；实时跟踪：dmesg -w
- 引导日志文件：/var/log/boot.log
查看 systemd 日志（若系统使用 systemd）
- 全部日志：journalctl
- 指定服务：journalctl -u sshd
- 实时跟踪：journalctl -f
- 按时间：journalctl --since "2025-11-14 09:00:00"
查看登录与审计
- 登录/注销历史：last -f /var/log/wtmp
- 失败登录：lastb -f /var/log/btmp
- 当前登录用户：who 或 w
- 各用户最近登录：lastlog
- 审计日志：less /var/log/audit/audit.log
查看应用日志
- Apache：tail -f /var/log/httpd/access_log、tail -f /var/log/httpd/error_log
- MySQL：tail -f /var/log/mysqld.log 或 tail -f /var/log/mysql/error.log 以上命令覆盖了文本日志与二进制登录日志的常用查看方式，以及 systemd 日志的检索能力。

四找不到日志时的排查

确认日志服务是否运行：systemctl status rsyslog（传统文本日志）与 systemctl status systemd-journald（journal 日志）。
检查配置是否写入正确文件：主配置 /etc/rsyslog.conf 及 /etc/rsyslog.d/*.conf，例如认证类日志通常配置为 authpriv.* /var/log/secure。
若使用 systemd，优先用 journalctl -u 服务名 检索；必要时检查服务是否启用并正确输出到日志。
对于二进制登录日志（如 wtmp/btmp/lastlog），不要直接用文本编辑器打开，使用 last、lastb、lastlog 等专用命令。

最新问答