centos7系统日
日志文件位置
/var/log/secure 记录登录系统存取数据的文件(例如:pop3,ssh,telnet,ftp等都会记录在此);
/ar/log/btmp 记录登录信息记录,被编码过,所以必须以lastb解析;
/var/log/message 几乎所有的开机系统发生的错误都会在此记录;
/var/log/boot.log 记录一些开机或者关机启动的一些服务显示的启动或者关闭的信息;
/var/log/maillog 记录邮件的存取和往来;
/var/log/cron 用来记录crontab(定时任务)这个服务的内容;
/var/log/lastlog 记录每个用户最后的登录信息;
/var/log/btmp 记录错误的登录尝试;
/var/log/dmesg 内核日志;
/var/log/yum.log 使用yum安装的软件包信息
/var/log/utmp
/var/log/wtmp 登陆记录信息(last命令即读取此日志)
清理linux日志
可在脚本中运行
# echo > /var/log/wtmp //清除用户登录记录
# echo > /var/log/btmp //清除尝试登录记录
# echo>/var/log/lastlog //清除最近登录信息
# echo > /var/log/secure //登录信息
# echo > /var/log/messages
# echo>/var/log/syslog //记录系统日志的服务
# echo>/var/log/xferlog
# echo>/var/log/auth.log
# echo>/var/log/user.log
# cat /dev/null > /var/adm/sylog
# cat /dev/null > /var/log/maillog
# cat /dev/null > /var/log/openwebmail.log
# cat /dev/null > /var/log/mail.info
ssh日志
ssh配置文件位置
/etc/ssh/sshd_config
ssh日志文件位置
日志文件 查看命令 日志内容
/var/log/wtmp last 登录成功日志,包含用户名、IP 地址和时间记录
/var/log/btmp lastb 登录失败日志,包含信息同上
/var/log/lastlog lastlog 各用户的最近登录日志
/var/log/secure 用cat查看 各类需要输入口令的登录日志
清除 SSH 登录日志使用下面命令
cat /dev/null > /var/log/wtmp
cat /dev/null > /var/log/btmp
cat /dev/null > /var/log/lastlog
cat /dev/null > /var/log/secure
查看登录日志
last/lastb 查看登录成功失败日志
-a 把从何处登入系统的主机名称或IP地址显示在最后一行。
-d 将IP地址转换成主机名称。
-f 指定记录文件。日志过大会切割为多个文件
位置:
-n <显示列数>或-<显示列数> 设置列出名单的显示列数。
-R 不显示登入系统的主机名称或IP地址。
-x 显示系统关机,重新开机,以及执行等级的改变等信息。
Bash日志/历史命令
Bash 执行过的命令存在用户目录下的.bash_history文件里,用history命令查看
用户的历史命令文件位置
./bash_history
清除历史记录
# echo > .bash_history //清除保存的用户操作历史记录
# history -cw //清除所有历史
