---恢复内容开始---

日志保存位置

默认 var/log目录下

主要日志文件

内核及公共消息日志：message

计划任务日志：cron

系统殷桃日志：demsg

邮件系统日志：maillog

用户登陆日志：/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/utmp

内核及系统日志：

由系统服务 rsyslogd 统一管理
? 软件包：rsyslog-5.8.10-8.el6.x86_64
? 主要程序:/sbin/rsyslogd
? 配置文件：/etc/rsyslog.conf 记录日志文件放的位置，可以通过日志文件从新定义日志放的位置。定义好之后要重启服务

rpm -q rsyslog 安装

service rsyslog status 启动

用户日志分析
 保存了用户登录、退出系统等相关信息
/var/log/lastlog：最近的用户登录事件 直接lastlog打开

 /var/log/wtmp：用户登录、注销及系统开、关机事件。2进制文件  用last命令查看，不需要跟文件路径

 /var/run/utmp：当前登录的每个用户的详细信息。2进制文件  用users、w、who命令查看

 /var/log/secure：不用户验证相关的安全性事件 用tail命令查看

/var/log/btmp：登录失败的信息，密码错误等。lastb命令查看

 分析工具
 users 、who、w、last、lastb

Linux日志文件分析