大纲
/var/log/message.log
/var/log/boot.log
audit
/etc/lograte.d/
/var/log/auth.log
/var/log/recuse
如何查看linux启动日志?
要查看 OpenEuler 的启动日志,你可以查看系统日志文件,通常包含了系统启动时的详细信息。在 OpenEuler 中,常见的系统日志文件通常存储在 /var/log/ 目录下。
以下是一些你可能感兴趣的系统日志文件:
/var/log/messages:包含系统的整体日志信息,包括内核消息、系统启动信息等。/var/log/boot.log:记录系统启动过程中的详细信息。/var/log/dmesg:包含系统启动期间内核消息的缓冲区。通常用于查看启动期间的硬件检测信息和内核初始化信息。
你可以使用 cat、less 或 tail 命令来查看这些日志文件的内容,例如:
cat /var/log/messages
less /var/log/boot.log
tail -f /var/log/dmesg
通过查看这些日志文件,你可以了解系统启动过程中发生的事件和可能的错误消息。
如何记录所有用户的linux操作日志?
要记录所有用户执行的命令,可以使用 Linux 审计(audit)工具。Linux 审计框架允许你监视和记录系统中发生的各种事件,包括命令执行、文件访问、系统调用等。
以下是设置 Linux 审计来记录所有用户执行的命令的步骤:
-
安装审计工具: 确保系统上已安装审计工具。在大多数 Linux 发行版中,它通常是预装的。如果没有安装,你可以使用包管理器进行安装。例如,在基于 Debian/Ubuntu 的系统上,可以运行以下命令:
sudo apt update sudo apt install auditd在基于 CentOS/RHEL 的系统上,可以运行以下命令:
sudo yum install audit -
配置审计规则: 编辑审计规则文件以添加规则来监视命令执行。你可以编辑
/etc/audit/rules.d/audit.rules文件或者/etc/audit/audit.rules文件(根据系统不同而异)。添加以下规则以监视所有命令的执行:-a always,exit -F arch=b64 -S execve -a always,exit -F arch=b32 -S execve这些规则会监视所有架构(b64 和 b32)上的命令执行事件,并在命令执行时记录相关信息。
-
重新加载审计规则: 保存文件后,使用以下命令重新加载审计规则:
sudo systemctl restart auditd -
查看审计日志: 审计记录通常会被记录在
/var/log/audit/audit.log文件中。你可以使用cat、less或tail命令来查看日志文件的内容,例如:cat /var/log/audit/audit.logless /var/log/audit/audit.logtail -f /var/log/audit/audit.log通过查看这些日志文件,你可以了解所有用户执行的命令,包括命令本身、执行用户、执行时间等信息。
请注意,审计记录可能会生成大量的日志数据。你可能需要根据实际情况定期清理日志文件,以避免填满磁盘空间。
