Ubuntu日志记录的关键信息
一 核心日志文件与记录内容
| 日志文件 | 关键信息 |
|---|---|
| /var/log/syslog | 系统全局日志,涵盖多数系统事件、服务消息、错误与警告,是排查综合问题的一站式入口 |
| /var/log/auth.log | 登录与认证事件,如 SSH 登录、sudo 使用、PAM 认证结果,安全审计重点 |
| /var/log/kern.log | 内核日志,硬件与驱动问题、内核报错、OOM 等 |
| /var/log/dmesg | 内核环缓冲区消息,系统启动阶段硬件检测与驱动初始化输出 |
| /var/log/boot.log | 系统启动过程日志(各服务的启动/失败信息) |
| /var/log/dpkg.log | APT/dpkg 包管理安装、升级、移除的详细记录 |
| /var/log/apt/ | apt 执行过程与事务日志(如 history.log) |
| /var/log/cron | 定时任务(cron)执行情况与错误 |
| /var/log/ufw.log | 防火墙(UFW)放行/拒绝的网络连接记录 |
| /var/log/mail.log / mail.err | 邮件服务(MTA)收发与错误信息 |
| /var/log/Xorg.*.log | X11/图形会话启动与运行日志(显卡/输入设备相关) |
| /var/log/apport.log | 程序崩溃(异常退出)报告与堆栈信息 |
| /var/log/lastlog | 每个用户最近一次登录时间、终端与来源(需用 lastlog 命令读取) |
| /var/log/wtmp | 用户登录/注销历史(用 last 命令查看) |
| /var/log/btmp | 失败登录尝试记录(用 lastb 命令查看) |
| /var/log/faillog | 登录失败计数与信息(用 faillog 命令查看) |
| /var/log/daemon.log | 各类系统守护进程的运行日志 |
| /var/log/user.log | 用户级进程产生的日志 |
| /var/log/cups/ | 打印系统(CUPS)日志 |
| /var/log/samba/ | Samba 文件共享相关日志 |
| /var/log/lightdm/ | 显示管理器(LightDM)会话日志 |
| /var/log/uucp/ | UUCP 通信相关日志(如存在) |
| /var/log/debug | 调试级信息与更细粒度的诊断输出(如启用) |
| 应用专属目录 | 例如 /var/log/apache2/、/var/log/mysql/ 等,记录各应用的访问与错误日志 |
二 systemd 日志的关键信息
三 登录与会话审计的关键信息
四 系统运行与维护的关键信息
五 日志轮转与保留