Типы журналов по умолчанию можно разделить на три категории: системные журналы, журналы входа в систему и журналы программ. Различные типы систем Linux имеют разные пути хранения журналов и имена файлов. Для систем Ubuntu и Centos созданные журналы по умолчанию сохраняются в каталоге «/var/log». В дополнение к системным журналам по умолчанию, системные службы, установленные пакетами RPM, также по умолчанию помещают записи журнала в /var/log/. Однако они не управляются службой rsyslogd, а поступают из собственного файла управления журналом каждой службы. . Как показано в таблице ниже, типы журналов систем Linux по умолчанию и информация об их хранении следующие:

Тип журнала системы по умолчанию

Файл журнала wtmp используется для записи входа и выхода каждого пользователя, а также событий запуска и завершения работы системы. Вы можете использовать файл журнала wtmp для просмотра информации, записанной системой входа пользователя.

>>> last -f /var/log/wtmp

Файл журнала btmp используется для записи информации о неудачных системах удаленного входа в систему, такой как имя пользователя, тип протокола, время входа, IP-адрес и другая информация о системе удаленного входа через протокол ssh.

>>> sudo last -f /var/log/btmp

Файл журнала cron используется для записи информации о событиях, созданных запланированными задачами. Например, время начала, время окончания, запланированный цикл выполнения, разрешения пользователя на выполнение и т. д. выполнения запланированной задачи.

>>> sudo cat /var/log/cron

безопасный файл журнала для информации. Например, время успешного и неудачного входа пользователя в систему ssh, имя пользователя для входа и т. д.

>>> cat /var/log/secure

Вы можете использовать командную строку utmpdump для преобразования двоичного файла в редактируемый файл и просмотра содержимого журнала:

>>> utmpdump /var/log/wtmp >/var/log/wtmp.file

Вы можете выполнить «cat .bash_history» в корневом каталоге каждого пользователя, чтобы просмотреть команду истории:

>>> ls -all

>>> cat .bash_history