CentOS 查看日志文件的位置与方法
说明
“fetchLinux”并非常见的发行版名称,通常是指在 CentOS 或 RHEL 上查看系统日志。以下内容适用于 CentOS 7/8/9 等常见环境。
主要日志路径与用途
- 系统日志
- /var/log/messages:综合系统消息(运行服务、内核消息等)
- /var/log/secure:安全与认证日志(如 SSH 登录、sudo 等)
- /var/log/cron:计划任务日志
- /var/log/maillog:邮件服务日志
- /var/log/boot.log:系统引导过程日志
- 登录与审计相关
- /var/log/wtmp:用户登录/注销与系统启停记录(用命令 last 查看)
- /var/log/btmp:失败登录尝试记录(用命令 lastb 查看)
- /var/log/lastlog:最近一次登录信息(用命令 lastlog 查看)
- 内核与引导
- dmesg 输出与 /var/log/dmesg:内核环缓冲与引导日志
- systemd 日志
- 由 journald 管理,配合 journalctl 查询与追踪
常用查看命令
- 传统文本日志
- 分页查看:less /var/log/messages
- 实时跟踪:tail -f /var/log/secure
- 关键字过滤:grep “error” /var/log/messages
- systemd 日志
- 查看全部:journalctl
- 按服务查看:journalctl -u sshd
- 实时跟踪:journalctl -f
- 按时间过滤:**journalctl --since “2025-12-17 00:00:00” --until “2025-12-17 12:00”
- 按级别过滤:journalctl -p err
快速排查示例
- 实时查看失败的 SSH 登录:sudo tail -f /var/log/secure | grep “Failed password”
- 查看最近一次系统启动日志:journalctl -b
- 查看失败登录记录:lastb
- 查看内核启动信息:dmesg | less
权限与日志轮转
- 权限提示:部分日志(如 /var/log/secure)需要 root 权限,建议使用 sudo 查看。
- 日志轮转:系统使用 logrotate 自动轮转与压缩旧日志,相关配置位于 /etc/logrotate.conf 与 /etc/logrotate.d/,可按需调整保留天数与压缩策略。
