說明

本章看一下Linux各個Log的內容

作法

ubuntu 和centos/redhat 日誌有所不同

Ubuntu 18

/var/log/boot.log
只有看到bootstrap.log，看起來是開機啟動的資訊

/var/log/cron
沒有看到，cron紀錄放在syslog內

/var/log/dmesg
沒有看到，指令為journalctl

/var/log/lastlog
所有的帳號最近一次登入系統時的相關資訊
用sudo cat /var/log/lastlog 不會顯示任何東西，vi /var/log/lastlog看到內容如下，難修改特定內容

下lastlog指令，全部都是Never logged in，連自己的帳號也是...

/var/log/maillog
只有看到/var/log/mail.log，看起來是服務重啟紀錄

/var/log/messages
沒有看到，相同的資訊被紀錄在 /var/log/syslog

/var/log/syslog
cat syslog |grep cron

/var/log/secure
沒有看到，相同的資訊被紀錄在 /var/log/auth.log

/var/log/auth.log
(1)sudo失敗，當時是輸入錯誤密碼
(2)成功執行了 sudo /bin/su 命令，試圖切換到 root 用戶
(3)su 命令成功切換到 root 用戶
從日誌內容看起來是紀錄認證行為，類似windows 4624/4625，這是一個很重要的Log需要監控

/var/log/wtmp
tail /var/log/wtmp顯示是亂碼，下last指令
training帳號，使用本地的圖形介面(:0)正登入。

/var/log/faillog
沒顯示任何東西，下faillog指令測試登入失敗後再查看這仍沒有顯示任何資訊

REF

鳥哥 第十八章、認識與分析登錄檔
https://linux.vbird.org/linux_basic/centos7/0570syslog.php

Linux 讀書會 - 認識與分析登錄檔
https://hackmd.io/@zinxinnnn/S17BouTSu

第13章：分析、儲存與存取系統日誌介紹（一）
https://ithelp.ithome.com.tw/articles/10276647