CentOS 日志的记录内容与范围
在 CentOS 中,日志默认集中在 /var/log 目录,由 rsyslog 与 systemd-journald 共同处理与持久化。记录内容覆盖:系统启动与运行(内核、服务启动/停止、硬件与驱动)、认证与授权(登录、su、sudo、SSH)、计划任务(cron 执行与错误)、邮件服务(Postfix/Dovecot 收发与队列)、内核与引导(dmesg、boot.log)、软件安装与更新(yum/dnf)、审计事件(系统调用、文件访问、策略变更)、以及各类应用服务(如 Apache/Nginx/MySQL 的访问与错误日志)。
核心系统日志与记录内容
| 日志文件或设施 | 主要记录内容 | 典型用途 |
|---|---|---|
| /var/log/messages | 系统通用消息、非内核引导类事件、服务运行信息 | 日常排障、运行状态巡检 |
| /var/log/secure | 认证与授权事件:SSH 登录成功/失败、su、sudo 等 | 安全审计、暴力破解排查 |
| /var/log/cron | crond 定时任务的启动、执行与错误 | 定时任务失败定位 |
| /var/log/boot.log | 系统引导过程信息(开机自检、服务启动顺序) | 开机异常排查 |
| /var/log/dmesg | 内核环缓冲消息:硬件检测、驱动加载、内核告警 | 硬件/驱动问题诊断 |
| /var/log/yum.log | yum/dnf 安装、更新、回滚记录 | 软件变更审计 |
| /var/log/maillog | 邮件服务日志(如 Postfix、Dovecot 的收发与错误) | 邮件故障与投递追踪 |
| /var/log/httpd/access_log、error_log | Apache 访问记录与错误日志 | Web 访问与错误分析 |
| /var/log/mysqld.log / mysql/error.log | MySQL 错误与运行状态 | 数据库故障与性能问题 |
| /var/log/audit/audit.log | auditd 审计日志:系统调用、文件/用户访问、策略变更 | 合规审计与入侵取证 |
| journalctl(systemd 日志) | 统一查询 systemd 与服务的结构化日志 | 服务级日志检索与追踪 |
| 以上文件与服务覆盖了系统、安全、审计与应用的关键记录面。 |
用户登录与会话相关日志
日志管理与查看方式