linux主機網路異常日誌

Ⅰ 如何查看redhat linux系統錯誤日誌

cat或者
tail -f命令

日 志 文 件 說 明

/var/log/message 系統啟動後的信息和錯誤日誌，是Red Hat Linux中最常用的日誌之一
/var/log/secure 與安全相關的日誌信息
/var/log/maillog 與郵件相關的日誌信息
/var/log/cron 與定時任務相關的日誌信息
/var/log/spooler 與UUCP和news設備相關的日誌信息
/var/log/boot.log 守護進程啟動和停止相關的日誌消息
系統：

# uname -a # 查看內核/操作系統/CPU信息
# cat /etc/issue
# cat /etc/redhat-release # 查看操作系統版本
# cat /proc/cpuinfo # 查看CPU信息
# hostname # 查看計算機名
# lspci -tv # 列出所有PCI設備
# lsusb -tv # 列出所有USB設備
# lsmod # 列出載入的內核模塊
# env # 查看環境變數
資源：

# free -m # 查看內存使用量和交換區使用量
# df -h # 查看各分區使用情況
# -sh <目錄名> # 查看指定目錄的大小
# grep MemTotal /proc/meminfo # 查看內存總量
# grep MemFree /proc/meminfo # 查看空閑內存量
# uptime # 查看系統運行時間、用戶數、負載
# cat /proc/loadavg # 查看系統負載
磁碟和分區：

# mount | column -t # 查看掛接的分區狀態
# fdisk -l # 查看所有分區
# swapon -s # 查看所有交換分區
# hdparm -i /dev/hda # 查看磁碟參數(僅適用於IDE設備)
# dmesg | grep IDE # 查看啟動時IDE設備檢測狀況
網路：

# ifconfig # 查看所有網路介面的屬性
# iptables -L # 查看防火牆設置
# route -n # 查看路由表
# netstat -lntp # 查看所有監聽埠
# netstat -antp # 查看所有已經建立的連接
# netstat -s # 查看網路統計信息
進程：

# ps -ef # 查看所有進程
# top # 實時顯示進程狀態（另一篇文章裡面有詳細的介紹）
用戶：

# w # 查看活動用戶
# id <用戶名> # 查看指定用戶信息
# last # 查看用戶登錄日誌
# cut -d: -f1 /etc/passwd # 查看系統所有用戶
# cut -d: -f1 /etc/group # 查看系統所有組
# crontab -l # 查看當前用戶的計劃任務
服務：

# chkconfig –list # 列出所有系統服務
# chkconfig –list | grep on # 列出所有啟動的系統服務

Ⅱ linux系統異常，學習如何通過系統日誌進行初

查看如下 兩個日誌對我們了解系統當時做了什麼操作有幫助。
/var/log/messages
記錄系統整體信息，一般來講各類報錯信息都會在這個日誌中記錄。
/var/log/cron
記錄系統定製任務的日誌。

首先我要定位系統異常的時間點，很簡單，我打開我的程序的目錄，找到運行日誌打開一看

可以直接看出來到7:20就沒有了，這說明程序運行到這個時間點之後就沒有在運行，基本上就是這個時間點異常了。
那麼系統日誌我們就按著這個時間點去看。
首先打開cron日誌找到對應的時間點，看了下似乎沒什麼異常之處。

接下來看messages日誌，找到對應的時間點之後發現了異常。
從7:20開始系統發生異常，然後桌面終端的情況被記錄到/var/spool/abrt/ccp-2017-11-09-07:20:02-5142.new/coremp
然後被程序調用的網卡被卸載掉，緊接著系統寫了一個mail。

上面的日誌中有一個error，根據這個報錯網路了下（這里我要吐槽網路，懷念google），大概意思是error 4的意思是用戶態程序內存訪問越界。
error number是由三個字位組成的，從高到底分別為bit2 bit1和bit0,所以它的取值范圍是0~7。
bit2: 值為1表示是用戶態程序內存訪問越界，值為0表示是內核態程序內存訪問越界
bit1: 值為1表示是寫操作導致內存訪問越界，值為0表示是讀操作導致內存訪問越界
bit0: 值為1表示沒有足夠的許可權訪問非法地址的內容，值為0表示訪問的非法地址根本沒有對應的頁面，也就是無效地址
error number是4, 轉成二進制就是100, 即bit2=1, bit1=0, bit0=0, 按照上面的解釋，我們可以得出這條信息是由於用戶態程序讀操作訪問越界造成的。
但是具體是什麼程序造成的我還沒弄清楚，但是用戶態程序也就是我運行的程序也就那麼幾個，逐個排查後應該可以得到結論。後續在慢慢弄。

Ⅲ 怎麼查看linux伺服器系統日誌

last

-a 把從何處登入系統的主機名稱或ip地址，顯示在最後一行。
-d 指定記錄文件。指定記錄文件。將IP地址轉換成主機名稱。
-f <記錄文件> 指定記錄文件。

-n <顯示列數>或-<顯示列數> 設置列出名單的顯示列數。

-R 不顯示登入系統的主機名稱或IP地址。
-x 顯示系統關機，重新開機，以及執行等級的改變等信息
以下看所有的重啟、關機記錄
last | grep rebootlast | grep shutdown

history

列出所有的歷史記錄：
[zzs@Linux] # history

只列出最近10條記錄：
[zzs@linux] # history 10 (注,history和10中間有空格)

使用命令記錄號碼執行命令,執行歷史清單中的第99條命令
[zzs@linux] #!99 (!和99中間沒有空格)

重復執行上一個命令
[zzs@linux] #!!

執行最後一次以rpm開頭的命令(!? ?代表的是字元串,這個String可以隨便輸，Shell會從最後一條歷史命令向前搜索，最先匹配的一條命令將會得到執行。)
[zzs@linux] #!rpm

逐屏列出所有的歷史記錄：
[zzs@linux]# history | more

立即清空history當前所有歷史命令的記錄
[zzs@linux] #history -c

cat, tail 和 watch

系統所有的日誌都在 /var/log 下面自己看(具體用途可以自己查,附錄列出一些常用的日誌)
cat /var/log/syslog 等
cat /var/log/*.log

tail -f
如果日誌在更新，如何實時查看 tail -f /var/log/messages
還可以使用 watch -d -n 1 cat /var/log/messages
-d表示高亮不同的地方，-n表示多少秒刷新一次。
該指令，不會直接返回命令行，而是實時列印日誌文件中新增加的內容，
這一特性，對於查看日誌是非常有效的。如果想終止輸出，按 Ctrl+C 即可。
除此之外還有more,less,dmesg|more,這里就不作一一列舉了,因為命令太多了,關鍵看個人喜好和業務需求.個人常用的就是以上那些.《Linux就該這么學》一起學習linux
linux日誌文件說明
/var/log/message 系統啟動後的信息和錯誤日誌，是Red Hat Linux中最常用的日誌之一
/var/log/secure 與安全相關的日誌信息
/var/log/maillog 與郵件相關的日誌信息
/var/log/cron 與定時任務相關的日誌信息
/var/log/spooler 與UUCP和news設備相關的日誌信息
/var/log/boot.log 守護進程啟動和停止相關的日誌消息
/var/log/wtmp 該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件

Ⅳ linux系統伺服器宕機日誌怎麼看

這往往是由於內核崩潰導致，但可能性多種多樣。 首先查看系統日誌，分析不出原因的話，請搜索「coremp」 或 「linux系統宕機」。

Ⅳ 如何查看linux系統警告日誌

一、/var目錄
/var 所有服務的登錄的文件或錯誤信息文件（LOG FILES)都在/var/log下，此外，一些資料庫如MySQL則在/var/lib下，還有，用戶未讀的郵件的默認存放地點為/var/spool/mail
二、:/var/log/
系統的引導日誌:/var/log/boot.log
例如:Feb 26 10:40:48 sendmial : sendmail startup succeeded
就是郵件服務啟動成功!

系統日誌一般都存在/var/log下
常用的系統日誌如下:
核心啟動日誌:/var/log/dmesg
系統報錯日誌:/var/log/messages
郵件系統日誌:/var/log/maillog
FTP系統日誌:/var/log/xferlog
安全信息和系統登錄與網路連接的信息:/var/log/secure
登錄記錄:/var/log/wtmp 記錄登錄者訊錄，二進制文件，須用last來讀取內容 who -u /var/log/wtmp 查看信息
News日誌:/var/log/spooler
RPM軟體包:/var/log/rpmpkgs
XFree86日誌:/var/log/XFree86.0.log
引導日誌:/var/log/boot.log 記錄開機啟動訊息，dmesg | more
cron(定製任務日誌)日誌:/var/log/cron

安全信息和系統登錄與網路連接的信息:/var/log/secure

文件 /var/run/utmp 記錄著現在登入的用戶。
文件 /var/log/wtmp 記錄所有的登入和登出。
文件 /var/log/lastlog 記錄每個用戶最後的登入信息。
文件 /var/log/btmp 記錄錯誤的登入嘗試。

less /var/log/auth.log 需要身份確認的操作
三、部分命令詳解

/var/log/messages

messages 日誌是核心系統日誌文件。它包含了系統啟動時的引導消息，以及系統運行時的其他狀態消息。IO 錯誤、網路錯誤和其他系統錯誤都會記錄到這個文件中。其他信息，比如某個人的身份切換為 root，也在這里列出。如果服務正在運行，比如 DHCP 伺服器，您可以在 messages 文件中觀察它的活動。通常，/var/log/messages 是您在做故障診斷時首先要查看的文件。
/var/log/XFree86.0.log
這個日誌記錄的是 Xfree86 Xwindows 伺服器最後一次執行的結果。如果您在啟動到圖形模式時遇到了問題，一般情況從這個文件中會找到失敗的原因。
http://www.guanwei.org/post/LINUXnotes/01/linuxlogs.html

成 功地管理任何系統的關鍵之一，是要知道系統中正在發生什麼事。Linux 中提供了異常日誌，並且日誌的細節是可配置的。Linux 日誌都以明文形式存儲，所以用戶不需要特殊的工具就可以搜索和閱讀它們。還可以編寫腳本，來掃描這些日誌，並基於它們的內容去自動執行某些功能。 Linux 日誌存儲在 /var/log 目錄中。這里有幾個由系統維護的日誌文件，但其他服務和程序也可能會把它們的日誌放在這里。大多數日誌只有root賬戶才可以讀，不過修改文件的訪問許可權 就可以讓其他人可讀。
日誌文件分類
/var/log/boot.log
該文件記錄了系統在引導過程中發生的事件，就是Linux系統開機自檢過程顯示的信息。
/var/log/cron
該 日誌文件記錄crontab守護進程crond所派生的子進程的動作，前面加上用 戶、登錄時間和PID，以及派生出的進程的動作。CMD的一個動作是cron派生出一個調度進程的常見情況。REPLACE（替換）動作記錄用戶對它的 cron文件的更新，該文件列出了要周期性執行的任務調度。 RELOAD動作在REPLACE動作後不久發生，這意味著cron注意到一個用戶的cron文件被更新而cron需要把它重新裝入內存。該文件可能會查 到一些反常的情況。
/var/log/maillog
該日誌文件記錄了每一個發送到系統或從系統發出的電子郵件的活動。它可以用來查看用戶使用哪個系統發送工具或把數據發送到哪個系統。下面是該日誌文件的片段：
Sep 4 17:23:52 UNIX sendmail[1950]: g849Npp01950: from=root, size=25,
class=0, nrcpts=1,
msgid=<[email protected]>,
relay=root@localhost
Sep 4 17:23:55 UNIX sendmail[1950]: g849Npp01950: [email protected],
ctladdr=root (0/0), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=30025,
relay=fcceec.net. [10.152.8.2], dsn=2.0.0, stat=Sent (Message queued)
/var/log/messages

該日誌文件是許多進程日誌文件的匯總，從該文件可以看出任何入侵企圖或成功的入侵。如以下幾行：
Sep 3 08:30:17 UNIX login[1275]: FAILED LOGIN 2 FROM (null) FOR suying,
Authentication failure
Sep 4 17:40:28 UNIX -- suying[2017]: LOGIN ON pts/1 BY suying FROM
fcceec.www.ec8.pfcc.com.cn
Sep 4 17:40:39 UNIX su(pam_unix)[2048]: session opened for user root by suying(uid=999)
該 文件的格式是每一行包含日期、主機名、程序名，後面是包含PID或內核標識的方括 號、一個冒號和一個空格，最後是消息。該文件有一個不足，就是被記錄的入侵企圖和成功的入侵事件，被淹沒在大量的正常進程的記錄中。但該文件可以由 /etc/syslog文件進行定製。由 /etc/syslog.conf配置文件決定系統如何寫入/var/messages。有關如何配置/etc/syslog.conf文件決定系統日誌 記錄的行為，將在後面詳細敘述。
/var/log/syslog
默 認RedHat Linux不生成該日誌文件，但可以配置/etc/syslog.conf讓系統生成該日誌文件。它和/etc/log/messages日誌文件不同， 它只記錄警告信息，常常是系統出問題的信息，所以更應該關注該文件。要讓系統生成該日誌文件，在/etc/syslog.conf文件中加上： *.warning /var/log/syslog 該日誌文件能記錄當用戶登錄時login記錄下的錯誤口令、Sendmail的問題、su命令執行失敗等信息。下面是一條記錄：

Sep 6 16:47:52 UNIX login(pam_unix)[2384]: check pass; user unknown
/var/log/secure
該日誌文件記錄與安全相關的信息。該日誌文件的部分內容如下：
Sep 4 16:05:09 UNIX xinetd[711]: START: ftp pid=1815 from=127.0.0.1
Sep 4 16:05:09 UNIX xinetd[1815]: USERID: ftp OTHER :root
Sep 4 16:07:24 UNIX xinetd[711]: EXIT: ftp pid=1815 ration=135(sec)
Sep 4 16:10:05 UNIX xinetd[711]: START: ftp pid=1846 from=127.0.0.1
Sep 4 16:10:05 UNIX xinetd[1846]: USERID: ftp OTHER :root
Sep 4 16:16:26 UNIX xinetd[711]: EXIT: ftp pid=1846 ration=381(sec)
Sep 4 17:40:20 UNIX xinetd[711]: START: telnet pid=2016 from=10.152.8.2

/var/log/lastlog
該 日誌文件記錄最近成功登錄的事件和最後一次不成功的登錄事件，由login生成。 在每次用戶登錄時被查詢，該文件是二進制文件，需要使用 lastlog命令查看，根據UID排序顯示登錄名、埠號和上次登錄時間。如果某用戶從來沒有登錄過，就顯示為"**Never logged in**"。該命令只能以root許可權執行。簡單地輸入lastlog命令後就會看到類似如下的信息：
Username Port From Latest
root tty2 Tue Sep 3 08:32:27 +0800 2002
bin **Never logged in**
daemon **Never logged in**
adm **Never logged in**
lp **Never logged in**
sync **Never logged in**
shutdown **Never logged in**
halt **Never logged in**
mail **Never logged in**
news **Never logged in**
uucp **Never logged in**
operator **Never logged in**
games **Never logged in**
gopher **Never logged in**
ftp ftp UNIX Tue Sep 3 14:49:04 +0800 2002
nobody **Never logged in**
nscd **Never logged in**
mailnull **Never logged in**
ident **Never logged in**
rpc **Never logged in**
rpcuser **Never logged in**
xfs **Never logged in**
gdm **Never logged in**
postgres **Never logged in**
apache **Never logged in**
lzy tty2 Mon Jul 15 08:50:37 +0800 2002
suying tty2 Tue Sep 3 08:31:17 +0800 2002

系統賬戶諸如bin、daemon、adm、uucp、mail等決不應該登錄，如果發現這些賬戶已經登錄，就說明系統可能已經被入侵了。若發現記錄的時間不是用戶上次登錄的時間，則說明該用戶的賬戶已經泄密了。

/var/log/wtmp
該 日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。因此隨著系統正常 運行時間的增加，該文件的大小也會越來越大，增加的速度取決於系統用戶登錄的次數。該日誌文件可以用來查看用戶的登錄記錄，last命令就通過訪問這個文 件獲得這些信息，並以反序從後向前顯示用戶的登錄記錄，last也能根據用戶、終端 tty或時間顯示相應的記錄。

命令last有兩個可選參數：
last -u 用戶名 顯示用戶上次登錄的情況。
last -t 天數 顯示指定天數之前的用戶登錄情況。

/var/run/utmp
該 日誌文件記錄有關當前登錄的每個用戶的信息。因此這個文件會隨著用戶登錄和注銷系 統而不斷變化，它只保留當時聯機的用戶記錄，不會為用戶保留永久的記錄。系統中需要查詢當前用戶狀態的程序，如 who、w、users、finger等就需要訪問這個文件。該日誌文件並不能包括所有精確的信息，因為某些突發錯誤會終止用戶登錄會話，而系統沒有及時 更新 utmp記錄，因此該日誌文件的記錄不是百分之百值得信賴的。

以 上提及的3個文件（/var/log/wtmp、/var/run/utmp、 /var/log/lastlog）是日誌子系統的關鍵文件，都記錄了用戶登錄的情況。這些文件的所有記錄都包含了時間戳。這些文件是按二進制保存的，故 不能用less、cat之類的命令直接查看這些文件，而是需要使用相關命令通過這些文件而查看。其中，utmp和wtmp文件的數據結構是一樣的，而 lastlog文件則使用另外的數據結構，關於它們的具體的數據結構可以使用man命令查詢。

每 次有一個用戶登錄時，login程序在文件lastlog中查看用戶的UID。如果存在，則把用戶上次登錄、注銷時間和主機名寫到標准輸出中，然後 login程序在lastlog中記錄新的登錄時間，打開utmp文件並插入用戶的utmp記錄。該記錄一直用到用戶登錄退出時刪除。utmp文件被各種 命令使用，包括who、w、users和finger。

下一步，login程序打開文件wtmp附加用戶的utmp記錄。當用戶登錄退出時，具有更新時間戳的同一utmp記錄附加到文件中。wtmp文件被程序last使用。

/var/log/xferlog
該日誌文件記錄FTP會話，可以顯示出用戶向FTP伺服器或從伺服器拷貝了什麼文件。該文件會顯示用戶拷貝到伺服器上的用來入侵伺服器的惡意程序，以及該用戶拷貝了哪些文件供他使用。

該 文件的格式為：第一個域是日期和時間，第二個域是下載文件所花費的秒數、遠程系統 名稱、文件大小、本地路徑名、傳輸類型（a：ASCII，b：二進制）、與壓縮相關的標志或tar，或"_"（如果沒有壓縮的話）、傳輸方向（相對於服務 器而言：i代表進，o代表出）、訪問模式（a：匿名，g：輸入口令，r：真實用戶）、用戶名、服務名（通常是ftp）、認證方法（l：RFC931，或 0），認證用戶的ID或"*"。下面是該文件的一條記錄：

Wed Sep 4 08:14:03 2002 1 UNIX 275531
/var/ftp/lib/libnss_files-2.2.2.so b _ o a -root@UNIX ftp 0 * c
/var/log/kernlog

RedHat Linux默認沒有記錄該日誌文件。要啟用該日誌文件，必須在/etc/syslog.conf文件中添加一行：kern.* /var/log/kernlog 。這樣就啟用了向/var/log/kernlog文件中記錄所有內核消息的功能。該文件記錄了系統啟動時載入設備或使用設備的情況。一般是正常的操作， 但如果記錄了沒有授權的用戶進行的這些操作，就要注意，因為有可能這就是惡意用戶的行為。下面是該文件的部分內容：

Sep 5 09:38:42 UNIX kernel: NET4: Linux TCP/IP 1.0 for NET4.0
Sep 5 09:38:42 UNIX kernel: IP Protocols: ICMP, UDP, TCP, IGMP
Sep 5 09:38:42 UNIX kernel: IP: routing cache hash table of 512 buckets, 4Kbytes
Sep 5 09:38:43 UNIX kernel: TCP: Hash tables configured (established 4096 bind 4096)
Sep 5 09:38:43 UNIX kernel: Linux IP multicast router 0.06 plus PIM-SM
Sep 5 09:38:43 UNIX kernel: NET4: Unix domain sockets 1.0/SMP for Linux NET4.0.
Sep 5 09:38:44 UNIX kernel: EXT2-fs warning: checktime reached, running e2fsck is recommended
Sep 5 09:38:44 UNIX kernel: VFS: Mounted root (ext2 filesystem).
Sep 5 09:38:44 UNIX kernel: SCSI subsystem driver Revision: 1.00
/var/log/Xfree86.x.log

該 日誌文件記錄了X-Window啟動的情況。另外，除了/var/log/外，惡 意用戶也可能在別的地方留下痕跡，應該注意以下幾個地方：root 和其他賬戶的shell歷史文件；用戶的各種郵箱，如.sent、mbox，以及存放在/var/spool/mail/ 和 /var/spool/mqueue中的郵箱；臨時文件/tmp、/usr/tmp、/var/tmp；隱藏的目錄；其他惡意用戶創建的文件，通常是以 "."開頭的具有隱藏屬性的文件等。

四、具體命令

wtmp和utmp文件都是二進制文件，它們不能被諸如tail之類的命令剪貼或合並（使用cat命令）。用戶需要使用who、w、users、last和ac等命令來使用這兩個文件包含的信息。

who命令

who命令查詢utmp文件並報告當前登錄的每個用戶。who的默認輸出包括用戶名、終端類型、登錄日期及遠程主機。例如，鍵入who命令，然後按回車鍵，將顯示如下內容：
chyang pts/0 Aug 18 15:06
ynguo pts/2 Aug 18 15:32
ynguo pts/3 Aug 18 13:55
lewis pts/4 Aug 18 13:35
ynguo pts/7 Aug 18 14:12
ylou pts/8 Aug 18 14:15

如果指明了wtmp文件名，則who命令查詢所有以前的記錄。命令who /var/log/wtmp將報告自從wtmp文件創建或刪改以來的每一次登錄。

w命令

w命令查詢utmp文件並顯示當前系統中每個用戶和它所運行的進程信息。例如，鍵入w命令，然後按回車鍵，將顯示如下內容：

3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
chyang pts/0 202.38.68.242 3:06pm 2:04 0.08s 0.04s -bash
ynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 w
lewis pts/3 202.38.64.233 1:55pm 30:39 0.27s 0.22s -bash
lewis pts/4 202.38.64.233 1:35pm 6.00s 4.03s 0.01s sh /home/users/
ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mail
ylou pts/8 202.38.64.235 2:15pm 1:09m 0.10s 0.04s -bash
users命令

users命令用單獨的一行列印出當前登錄的用戶，每個顯示的用戶名對應一個登錄會話。如果一個用戶有不止一個登錄會話，那他的用戶名將顯示相同的次數。例如，鍵入users命令，然後按回車鍵，將顯示如下內容：
chyang lewis lewis ylou ynguo ynguo
last命令

last命令往回搜索wtmp來顯示自從文件第一次創建以來登錄過的用戶。例如：

chyang pts/9 202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)
cfan pts/6 202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)
chyang pts/4 202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)
lewis pts/3 202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)
lewis pts/2 202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)

如果指明了用戶，那麼last只報告該用戶的近期活動，例如，鍵入last ynguo命令，然後按回車鍵，將顯示如下內容：

ynguo pts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)
ynguo pts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)
ynguo pts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)
ynguo pts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)
ynguo pts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)
ynguo pts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)

ac命令

ac命令根據當前的/var/log/wtmp文件中的登錄進入和退出來報告用戶連接的時間（小時），如果不使用標志，則報告總的時間。例如，鍵入ac命令，然後按回車鍵，將顯示如下內容：
total 5177.47
鍵入ac -d命令，然後按回車鍵，將顯示每天的總的連接時間：

Aug 12 total 261.87
Aug 13 total 351.39
Aug 14 total 396.09
Aug 15 total 462.63
Aug 16 total 270.45
Aug 17 total 104.29
Today total 179.02

鍵入ac -p命令，然後按回車鍵，將顯示每個用戶的總的連接時間：

ynguo 193.23
yucao 3.35
rong 133.40
hdai 10.52
zjzhu 52.87
zqzhou 13.14
liangliu 24.34
total 5178.24

lastlog命令

lastlog 文件在每次有用戶登錄時被查詢。可以使用lastlog命令檢查某特 定用戶上次登錄的時間，並格式化輸出上次登錄日誌 /var/log/lastlog的內容。它根據UID排序顯示登錄名、埠號（tty）和上次登錄時間。如果一個用戶從未登錄過，lastlog顯示 **Never logged**。注意需要以root身份運行該命令，例如：

rong 5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000
dbb **Never logged in**
xinchen **Never logged in**
pb9511 **Never logged in**
xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000

另外，可加一些參數，例如，"last -u 102"命令將報告UID為102的用戶；"last -t 7"命令表示限制為上一周的報告。

五、進程統計

UNIX 可以跟蹤每個用戶運行的每條命令，如果想知道昨晚弄亂了哪些重要的文件，進 程統計子系統可以告訴你。它還對跟蹤一個侵入者有幫助。與連接時間日誌不同，進程統計子系統默認不激活，它必須啟動。在Linux系統中啟動進程統計使用 accton命令，必須用root身份來運行。
accton命令的形式為：accton file，file必須事先存在。
先使用touch命令創建pacct文件：touch /var/log/pacct，然後運行accton：accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令監測系統中任何時候執行的命令。若要關閉統計，可以使用不帶任何 參數的accton命令。

lastcomm命令報告以前執行的文件。不帶參數時，lastcomm命令顯示當前統計文件生命周期內記錄的所有命令的有關信息。包括命令名、用戶、tty、命令花費的CPU時間和一個時間戳。如果系統有許多用戶，輸入則可能很長。看下面的例子：

crond F root ?? 0.00 secs Sun Aug 20 00:16
promisc_check.s S root ?? 0.04 secs Sun Aug 20 00:16
promisc_check root ?? 0.01 secs Sun Aug 20 00:16
grep root ?? 0.02 secs Sun Aug 20 00:16
tail root ?? 0.01 secs Sun Aug 20 00:16
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.01 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.02 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.02 secs Sun Aug 20 00:15
sh root ?? 0.02 secs Sun Aug 20 00:15
ping S root ?? 0.00 secs Sun Aug 20 00:15
ping6.pl F root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.01 secs Sun Aug 20 00:15
ping S root ?? 0.01 secs Sun Aug 20 00:15
sh root ?? 0.02 secs Sun Aug 20 00:15
ping S root ?? 1.34 secs Sun Aug 20 00:15
locate root ttyp0 1.34 secs Sun Aug 20 00:15
accton S root ttyp0 0.00 secs Sun Aug 20 00:15

進程統計的一個問題是pacct文件可能增長得十分迅速。這時需要互動式地或經過 cron機制運行sa命令來保證日誌數據在系統控制內。sa命令報告、清理並維護進程統計文件。它能把/var/log/pacct中的信息壓縮到摘要文 件/var/log/savacct和 /var/log/usracct中。這些摘要包含按命令名和用戶名分類的系統統計數據。在默認情況下sa先讀它們，然後讀pacct文件，使報告能包含 所有的可用信息。sa的輸出有下面一些標記項。

/var/log目錄下的20個Linux日誌文件功能詳解 :

如果願意在Linux環境方面花費些時間，首先就應該知道日誌文件的所在位置以及它們包含的內容。在系統運行正常的情況下學習了解這些不同的日誌文件有助於你在遇到緊急情況時從容找出問題並加以解決。

以下介紹的是20個位於/var/log/ 目錄之下的日誌文件。其中一些只有特定版本採用，如dpkg.log只能在基於Debian的系統中看到。
/var/log/messages — 包括整體系統信息，其中也包含系統啟動期間的日誌。此外，mail，cron，daemon，kern和auth等內容也記錄在var/log/messages日誌中。
/var/log/dmesg — 包含內核緩沖信息（kernel ring buffer）。在系統啟動時，會在屏幕上顯示許多與硬體有關的信息。可以用dmesg查看它們。
/var/log/auth.log — 包含系統授權信息，包括用戶登錄和使用的許可權機制等。
/var/log/boot.log — 包含系統啟動時的日誌。
/var/log/daemon.log — 包含各種系統後台守護進程日誌信息。
/var/log/dpkg.log – 包括安裝或dpkg命令清除軟體包的日誌。
/var/log/kern.log – 包含內核產生的日誌，有助於在定製內核時解決問題。
/var/log/lastlog — 記錄所有用戶的最近信息。這不是一個ASCII文件，因此需要用lastlog命令查看內容。
/var/log/maillog /var/log/mail.log — 包含來著系統運行電子郵件伺服器的日誌信息。例如，sendmail日誌信息就全部送到這個文件中。
/var/log/user.log — 記錄所有等級用戶信息的日誌。
/var/log/Xorg.x.log — 來自X的日誌信息。
/var/log/alternatives.log – 更新替代信息都記錄在這個文件中。
/var/log/btmp – 記錄所有失敗登錄信息。使用last命令可以查看btmp文件。例如，」last -f /var/log/btmp | more「。
/var/log/cups — 涉及所有列印信息的日誌。
/var/log/anaconda.log — 在安裝Linux時，所有安裝信息都儲存在這個文件中。
/var/log/yum.log — 包含使用yum安裝的軟體包信息。
/var/log/cron — 每當cron進程開始一個工作時，就會將相關信息記錄在這個文件中。
/var/log/secure — 包含驗證和授權方面信息。例如，sshd會將所有信息記錄（其中包括失敗登錄）在這里。
/var/log/wtmp或/var/log/utmp — 包含登錄信息。使用wtmp可以找出誰正在登陸進入系統，誰使用命令顯示這個文件或信息等。
/var/log/faillog – 包含用戶登錄失敗信息。此外，錯誤登錄命令也會記錄在本文件中。

除了上述Log文件以外， /var/log還基於系統的具體應用包含以下一些子目錄：
/var/log/httpd/或/var/log/apache2 — 包含伺服器access_log和error_log信息。
/var/log/lighttpd/ — 包含light HTTPD的access_log和error_log。
/var/log/mail/ – 這個子目錄包含郵件伺服器的額外日誌。
/var/log/prelink/ — 包含.so文件被prelink修改的信息。
/var/log/audit/ — 包含被 Linux audit daemon儲存的信息。
/var/log/samba/ – 包含由samba存儲的信息。
/var/log/sa/ — 包含每日由sysstat軟體包收集的sar文件。
/var/log/sssd/ – 用於守護進程安全服務。

除了手動存檔和清除這些日誌文件以外，還可以使用logrotate在文件達到一定大小後自動刪除。可以嘗試用vi，tail，grep和less等命令查看這些日誌文件。

Ⅵ linux如何查看四小時之前錯誤日誌

連接相應的linux主機，輸入對應的指令就可以看到了。

linux下查看php錯誤日誌的方法，打開php.ini配置文件開啟錯誤日誌，通過php.ini來查看錯誤日誌存放地址或者在一個php文件中輸出 phpinfo，查看錯誤日誌存放位置，重啟web伺服器，查看錯誤日誌存放位置，執行【tail -f 50 /var/php_errors.log】命令就可以查看。

linux系統基本命令：

id命令：id命令用於顯示用戶的ID，以及所屬群組的ID，id命令已經默認預裝在大多數Linux系統中，id會顯示用戶以及所屬群組的實際與有效ID，若兩個ID相同則僅顯示實際ID。

ncftp命令：ncftp命令是文字模式FTP程序中的佼佼者，它具備多樣特色， 包括顯示傳輸速率，下載進度，自動續傳，標住書簽，可通過防火牆和代理伺服器等。

當不指定用戶名時，ncftp 命令會自動嘗試使用匿名賬戶anonymous 去連接遠程FTP伺服器，不需要用戶輸入賬號和密碼。

Ⅶ 如何查看linux系統下的各種日誌文件 linux 系統日誌的分析大全

日誌文件詳細地記錄了系統每天發生的各種各樣的事件。用戶可以通過日誌文件檢查錯誤產生的原因，或者在受到攻擊和黑客入侵時追蹤攻擊者的蹤跡。日誌的兩個比較重要的作用是：審核和監測。
Linux系統的日誌主要分為兩種類型：
1．進程所屬日誌
由用戶進程或其他系統服務進程自行生成的日誌，比如伺服器上的access_log與error_log日誌文件。
2．syslog消息
系統syslog記錄的日誌，任何希望記錄日誌的系統進程或者用戶進程都可以給調用syslog來記錄日誌。
日誌系統可以劃分為三個子系統：
1． 連接時間日誌--由多個程序執行，把紀錄寫入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系統管理員能夠跟蹤誰在何時登錄到系統。
2． 進程統計--由系統內核執行。當一個進程終止時，為每個進程往進程統計文件（pacct或acct）中寫一個紀錄。進程統計的目的是為系統中的基本服務提供命令使用統計。
3． 錯誤日誌--由syslogd（8）執行。各種系統守護進程、用戶程序和內核通過syslog（3）向文件/var/log/messages報告值得注意的事件。
2．察看日誌文件
Linux系統所有的日誌文件都在/var/log下，且必須有root許可權才能察看。
日誌文件其實是純文本的文件，每一行就是一個消息。察看方式有很多。
1． cat命令。日誌文件總是很大的，因為從第一次啟動Linux開始，消息都累積在日誌文件中。如果這個文件不只一頁，那麼就會因為顯示滾動得太快看不清文件的內容。
2． 文本編輯器。最好也不要用文本編輯器打開日誌文件，這是因為一方面很耗費內存，另一方面不允許隨意改動日誌文件。
3．用more或less那樣的分頁顯示程序。
4．用grep查找特定的消息。
每一行表示一個消息，而且都由四個域的固定格式組成：
n 時間標簽（timestamp），表示消息發出的日期和時間
n 主機名（hostname）（在我們的例子中主機名為escher），表示生成消息的計算機的名字。如果只有一台計算機，主機名就可能沒有必要了。但是，如果在網路環境中使用syslog，那麼就可能要把不同主機的消息發送到一台伺服器上集中處理。
n 生成消息的子系統的名字。可以是"kernel"，表示消息來自內核，或者是進程的名字，表示發出消息的程序的名字。在方括弧里的是進程的PID。
n 消息（message），剩下的部分就是消息的內容。
舉例：
在[root@localhost root]# 提示符下輸入：tail /var/log/messages
Jan 05 21:55:51 localhost last message repeated 3 times
Jan 05 21:55:51 localhost kernel: [drm] AGP 0.99 on Intel i810 @ 0xf0000000 128M
B
Jan 05 21:55:51 localhost kernel: [drm] Initialized i830 1.3.2 20021108 on minor
0
Jan 05 21:55:51 localhost kernel: mtrr: base(0xf0000000) is not aligned on a siz
e(0x12c000) boundary
Jan 05 21:56:35 localhost 1月 28 21:56:35 gdm(pam_unix)[4079]: session opened f
or user root by (uid=0)
Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 正在啟動（版本 2.
2.0），pid 4162 用戶"root"
Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re
adonly:/etc/gconf/gconf.xml.mandatory"指向位於 0 的只讀配置源
Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re
adwrite:/root/.gconf"指向位於 1 的可寫入配置源
Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re
adonly:/etc/gconf/gconf.xml.defaults"指向位於 2 的只讀配置源
Jan 05 21:58:20 localhost kernel: MSDOS FS: IO charset cp936

值得注意的是，與連接時間日誌不同，進程統計子系統默認不激活，它必須啟動。在Linux
系統中啟動進程統計使用accton命令，必須用root身份來運行。accton命令的形式為：accton
file，file必須事先存在。先使用touch命令創建pacct文件：touch
/var/log/pacct，然後運行accton：accton
/var/log/pacct。一旦accton被激活，就可以使用lastcomm命令監測系統中任何時候執行的命令。若要關閉統計，可以使用不帶任何
參數的accton命令。
3．日誌系統工作原理及配置
3.1 syslog
它同closelog, openlog共同給system logger發送消息。
Linux內核由很多子系統組成，包括網路、文件訪問、內存管理等。子系統需要給用戶傳送一些消息，這些消息內容包括消息的來源及其重要性等。所有的子系統都要把消息送到一個可以維護的公用消息區。於是，就有了一個叫Syslog的程序。

這個程序負責接收消息（比如：系統核心和許多系統程序產生的錯誤信息、警告信息和其他信息，每個信息都包括重要級），並把消息分發到合適的地方。通常情況
下，所有的消息都被記錄到特定的文件——日誌文件中（通常是/var/adm或/var/log目錄下的messages文件），特別重要的消息也會在用
戶終端窗口上顯示出來。
syslog工具有兩個重要文件：syslogd和syslog.Conf
它能接受訪問系統的日誌信息並且根據 "/etc/syslog.conf" 配置文件中的指令處理這些信息。守護進程和內核提供了訪問系統的日誌信息。因此，任何希望生成日誌信息的程序都可以向 syslog 介面呼叫生成該信息。
3.2 syslogd守護進程

就象其它復雜的操作系統那樣，Linux也是由很多不同的子系統組成的。有些叫做daemon的程序一直在後台運行（daemon：守護神之意。也就是
說，他們"默默無聞"，不需要和用戶交互），處理一些象列印、發送郵件、建立Internet連接，等等日常工作。每一個子系統發出日誌消息的時候都會給
消息指定一個類型。一個消息分成兩個部分："設備（facility）"和"級別(level)"。"設備"標識發出消息的子系統，可以把同一類型的消息組合在一起，"級別"表示消息的重要性，其范圍從debug（最不重要）到emerg（最重要），facility和level組合起來稱為priority。（詳細解釋參照5.3）
/usr/include/sys/syslog.h中對此有相關的定義。
用戶看不到daemon程序，因為它們沒有窗口和用戶界面。但是，這些程序有時候也要給用戶傳遞一些信息。為了實現這個目的，就需要一個特殊的機制。syslogd就是daemon的一個很好的例子，它在後台運行並且把消息從日誌區轉移到日誌文件中去。
函數介面
#include
void openlog( char * , int , int )
其中，可以是以下值的OR組合：
LOG_CONS : 如果消息無法送到syslogd，直接輸出到系統console。
LOG_NDELAY : 立即打開到syslogd的連接，默認連接是在第一次寫入訊息時才打開的。
LOG_PERROR : 將消息也同時送到stderr 上
LOG_PID : 將PID記錄到每個消息中
void syslog( int , char * )
其中，是facility和level的OR組合
void closelog( void )
一般只需要用syslog()函數，其他函數可以不用。
3.3 syslog.conf
這是一個非常重要的文件。位於"/etc/"目錄下。通知 syslogd 如何根據設備和信息重要級別來報告信息。
該文件使用下面的形式：
facility.level action
syslog.conf 的第一列facility.level用來指定日誌功能和日誌級別，中間用.隔開，可以使用*來匹配
所有的日誌功能和日誌級別。第二列action是消息的分發目標。
空白行和以#開頭的行是注釋，可以忽略。
Facility.level 欄位也被稱做選擇域（seletor）。
n facility 指定 syslog 功能，主要包括以下這些：
auth 由 pam_pwdb 報告的認證活動。
authpriv 包括特權信息如用戶名在內的認證活動
cron 與 cron 和 at 有關的信息。
daemon 與 inetd 守護進程有關的信息。
kern 內核信息，首先通過 klogd 傳遞。
lpr 與列印服務有關的信息。
mail 與電子郵件有關的信息
mark syslog 內部功能用於生成時間戳
news 來自新聞伺服器的信息
syslog 由 syslog 生成的信息
user 由用戶程序生成的信息
uucp 由 uucp 生成的信息
local0----local7 與自定義程序使用，例如使用 local5 做為 ssh 功能
* 通配符代表除了 mark 以外的所有功能
level 級別，決定訊息的重要性。
與每個功能對應的優先順序是按一定順序排列的，emerg 是最高級，其次是 alert，依次類推。預設時，在 /etc/syslog.conf 記錄中指定的級別為該級別和更高級別。如果希望使用確定的級別可以使用兩個運算符號！(不等)和=。
例如：user.=info 表示告知 syslog 接受所有在 info 級別上的 user 功能信息。
n 以下的等級重要性逐次遞減:
emerg 該系統不可用
alert 需要立即被修改的條件
crit 阻止某些工具或子系統功能實現的錯誤條件
err 阻止工具或某些子系統部分功能實現的錯誤條件
warning 預警信息
notice 具有重要性的普通條件
info 提供信息的消息
debug 不包含函數條件或問題的其他信息
none 沒有重要級，通常用於排錯
* 所有級別，除了none
n action 欄位為動作域，所表示的活動具有許多靈活性，特別是，可以使用名稱管道的作用是可以使 syslogd 生成後處理信息。
syslog 主要支持以下活動：
file 將消息追加到指定的文件尾
terminal 或 print 完全的串列或並行設備標志符
@host 遠程的日誌伺服器
username 將消息寫到指定的用戶
named pipe 指定使用 mkfifo 命令來創建的 FIFO 文件的絕對路徑。
* 將消息寫到所有的用戶
選擇域指明消息的類型和優先順序；動作域指明syslogd接收到一個與選擇標准相匹配的消息時所執行的動作。每個選項是由設備和優先順序組成。當指明一個優先順序時，syslogd將紀錄一個擁有相同或更高優先順序的消息。比如如果指明"crit"，則所有標為crit、alert和emerg的消息將被紀錄。每行的行動域指明當選擇域選擇了一個給定消息後應該把他發送到什麼地方。
以下是一個實際站點的配置（syslog.conf）文件：
# Store critical stuff in critical
#
*.=crit;kern.none /var/adm/critical
這個將把所有信息以優先權的crit保存在/var/adm/critical文件中，除了一些內核信息
# Kernel messages are first, stored in the kernel
# file, critical messages and higher ones also go
# to another host and to the console
#
kern.* /var/adm/kernel
kern.crit @finlandia
kern.crit /dev/console
kern.info;kern.!err /var/adm/kernel-info
第一條代碼指引一些內核設備訪問文件/var/adm/kernel的信息。
第二條代碼直接引導所有擁有crit和更高優先權的內核信息訪問遠程主機。如果它們也存儲在遠程主機上，仍舊可以試著找到毀壞的原因。
第四行說明syslogd 保存了所有擁有info 到warning優先順序的內核信息在/var/adm/kernel-info文件夾下。所有err和更高優先順序的被排除在外。
# The tcp wrapper loggs with mail.info, we display
# all the connections on tty12
#
mail.=info /dev/tty12
這個引導所有使用mail.info (in source LOG_MAIL | LOG_INFO)的信息到/dev/tty12下，第12
個控制台。例如tcpwrapper
tcpd
(8)載預設時使用這個
# Store all mail concerning stuff in a file
mail.*;mail.!=info /var/adm/mail
模式匹配了所有具有mail功能的信息，除了擁有info優先順序的。他們將被保存在文件/var/adm/mail中
# Log all mail.info and news.info messages to info
#
mail,news.=info /var/adm/info
提取所有具有mail.info 或news.info 功能優先順序的信息存儲在文件/var/adm/info中
# Log info and notice messages to messages file
#
*.=info;*.=notice;\
mail.none /var/log/messages
使所有syslogd日誌中具有info 或notice功能的信息存儲在文件/var/log/messages中，除了所有mail功能的信息
# Log info messages to messages file
#
*.=info;\
mail,news.none /var/log/messages
這個聲明使syslogd日誌中所有具有info優先權的信息存儲在/var/log/messages文件中。但是一些有mail 或news功能的信息不能被存儲。
# Emergency messages will be displayed using wall
#
*.=emerg *
這行代碼告訴syslogd寫所有緊急信息到所有當前登陸用戶日誌中。這個將被實現
# Messages of the priority alert will be directed
# to the operator
#
*.alert root,joey
*.* @finlandia
這個代碼指引所有具有alert 或更高級許可權的信息到終端操作。
第二行代碼引導所有信息到叫做finlandia的遠程主機。這個代碼非常有用，特別是在所有syslog信息將被保存到一台機器上的群集計算機。
3.4 klogd 守護進程
klog是一個從UNIX內核接受消息的設備
klogd
守護進程獲得並記錄 Linux 內核信息。通常，syslogd 會記錄 klogd
傳來的所有信息。也就是說，klogd會讀取內核信息，並轉發到syslogd進程。然而，如果調用帶有 -f filename 變數的 klogd
時，klogd 就在 filename 中記錄所有信息，而不是傳給 syslogd。當指定另外一個文件進行日誌記錄時，klogd
就向該文件中寫入所有級別或優先權。Klogd 中沒有和 /etc/syslog.conf 類似的配置文件。使用 klogd 而避免使用
syslogd 的好處在於可以查找大量錯誤。
總結
其中，箭頭代表發送消息給目標進程或者將信息寫入目標文件。

圖1 Linux日誌系統
日誌管理及日誌保護

logrotate程序用來幫助用戶管理日誌文件，它以自己的守護進程工作。logrotate周期性地旋轉日誌文件，可以周期性地把每個日誌文件重命名
成一個備份名字，然後讓它的守護進程開始使用一個日誌文件的新的拷貝。在/var/log/下產生如maillog、maillog.1、
maillog.2、boot.log.1、boot.log.2之類的文件。它由一個配置文件驅動，該文件是
/etc/logroatate.conf。
以下是logroatate.conf文件例子：
# see "man logrotate" for details
# rotate log files weekly
weekly
#以7天為一個周期
# keep 4 weeks worth of backlogs
rotate 4
#每隔4周備份日誌文件
# send errors to root
errors root
#發生錯誤向root報告
# create new (empty) log files after rotating old ones
create
#轉完舊的日誌文件就創建新的日誌文件
# uncomment this if you want your log files compressed
#compress
#指定是否壓縮日誌文件
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# no packages own lastlog or wtmp -- we'll rotate them here
/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
}
# system-specific logs may be configured here

在網路應用中，有一種保護日誌的方式，在網路中設定一台秘密的syslog主機，把這台主機的網卡設為混雜模式，用來監聽子網內所有的syslog包，這
樣把所有需要傳送日誌的主機配置為向一台不存在的主機發送日誌即可。這樣即使黑客攻陷了目標主機，也無法通過syslog.conf文件找到備份日誌的主
機，那隻是一個不存在的主機。實際操作中還可以輔以交換機的配置，以確保syslog包可以被備份日誌主機上的syslog進程接受到。比如把
syslog.conf中的傳送日誌主機設為
@192.168.0.13，但實際網路中不存在這個日誌主機，實際可能是192.168.0.250或者其他主機正在接受syslog包。

Ⅷ linux系統突然宕機，重新啟動以後，系統日誌一直在刷新如下兩條報錯，網路正常，不是網卡的問題。

這個可能是系統程序故障了， 也許是遭到入侵了種植了惡意程序， 上次就遇到過類似的問題。結果是系統被黑了的。
請看一下wo的網名可以嗎？這個問題能幫助分析解決一下的哦

Ⅸ 在linux中怎麼查看錯誤日誌

1、連接上相應的linux主機，進入到等待輸入shell指令的linux命令行狀態下。

Ⅹ linux有沒有日誌記錄伺服器網路狀態

作為伺服器操作系統，Linux下的系統日誌對於管理員來說相當重要，可通過日誌的查看跟蹤系統運行狀態。
日誌存放位置在 /var/log目錄里，主要有 dmeg,maillog ,messages,secure等幾個文件。
dmsg: 主要記錄內核引導信息。
messages: 記錄一些說明性信息和系統錯誤日誌
maillog： 記錄郵件信息