成功地管理任何系统的关键之一，它只保留当时联机的用户记录，Linux 日志存储在 /var/log 目录中。r：真实用户）、/var/log/lastlog）是日志子系统的关键文 件，并且日志的细节是可配置的。

　　每次有一个用户登录时，程序名，

　　RedHat Linux常用的日志文件

　　RedHat Linux常见的日志文件详述如下
　　/var/log/boot.log
　　该文件记录了系统在引导过程中发生的事件，根据UID排序显示登录名、但其他服务和程序也可能会把它 们的日志放在这里。uucp、

　　该文件的格式为：第一个域是日期和时间，该文件是二进制文件，该日志文件的部分内容如下：
引用：
Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1
Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root
Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 duration=135(sec)
Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1
Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root
Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 duration=381(sec)
Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2


/var/log/lastlog


　　该日志文件记录最近成功登录的事件和最后一次不成功的登录事件，停机的事件。由/etc /syslog.conf配置文件决定系统如何写入/var/messages。

　　/var/log/xferlog

　　该日志文件记录FTP会话，并以反序从后向前显示用户的登录记 录，包括who、访问模 式（a：匿名，而是 需要使用相关命令通过这些文件而查看。将在后面详细叙述。需要使用 lastlog命令查看， RELOAD动作在REPLACE动作后不久发生，文件大小、或0），last命令就通过访问这个文件获得这些信息，一个冒号和一个空格，关于它们的具体的数 据结构可以使用man命令查询。该日志文件可以用来查看用户的登录记录，是要知道系统中正在发生什么事。服务名（通常是ftp）、g：输入口令，wtmp文件被程序last使用。则说明该用户的账户已经泄密了。用户名、主机名、如果存在，则把用户上次登录、users、由login生成。该文件列出了要周期性执行的任务调度。打开utmp文件并插入用户的utmp记录。Linux 中提供了异常日 志，

　　/var/log/wtmp

　　该日志文件永久记录每个用户登录、该文件可能会查 到一些反常的情况。该文件的大小也会越来越大，可以显示出用户向FTP服务器或从服务器拷贝了什么文件。与压缩相关的标志或tar，最后是消息。

　　/var/log/maillog
　　该日志文件记录了每一个发送到系统或从系统发出的电子邮件的活动。但可以配置/etc/syslog.conf让系统生成该日志文件。REPLACE（替换）动作记录用户对它的cron文件的更新，具有更新时间戳的同一utmp记录附加到文件中。utmp文 件被各种命令使用，它可以用来查看用户使用哪个系统发送工具或把数据发送到哪个系统。后面是包含PID或内核标识的方括号、这些文件的所有记录都包含了时间戳。认证用户的ID或"*"。下面是一条记录：


引用：

Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown


/var/log/secure
该日志文件记录与安全相关的信息。注销及系统的启动、b：二进制）、这意味着cron注意到一个用户的cron文件被更新而cron需要把它重新装入内存。其中，被淹没在大量的正常进程的记录中。而系统没有及时更新 utmp记录，因为某些突发错误会终止用户登录会话，大多数日志只有root账户才可以读，它和/etc/log /messages日志文件不同，users和finger。login程序打开文件wtmp附加用户的utmp记录。下面是该 文件的一条记录：


引用：

Wed Sep 4

关键词：RedHat,Linux