rsyslog

• Debian找不到/var/log/auth.log文件，Debian默认没有安装rsyslog服务

检查rsyslog是否正常运行
 ps -aux | grep rsyslog
systemctl status rsyslog

# 安装 
apt-get install rsyslog -y
#启用
systemctl start rsyslog
systemctl enable rsyslog

配置

/etc/rsyslog.conf
/etc/rsyslog.d/

#打开
/var/log/auth.log
/var/log/cron.log
/var/log/kern.log
/var/log/mail.log
/var/log/user.log

• 查看日志3个命令

使用less命令查看
less /var/log/syslog

使用tail实时监控日志
tail -f /var/log/syslog
tail -f /var/log/auth.log
tail -f /var/log/kern
tail -f /var/log/mail
tail -f /var/log/user

使用grep查找日志
grep 'ssh' /var/log/auth.log

统计命令

grep 'Failed password for' /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | grep -v ";"

linux的常用日志文件名列表

1、/var/log/messages
整体系统信息，其中也包含系统启动期间的日志。此外mail，cron，daemon，kern和auth等内容也记录在var/log/messages日志中。


2、/var/log/auth.log
系统授权信息，包括用户登录和使用的权限机制等。
15、/var/log/syslog
系统日志

6、/var/log/kern.log
内核产生的日志

13、/var/log/secure
验证和授权方面信息。例如：sshd日志。


3、/var/log/boot.log
系统启动时的日志。


4、/var/log/daemon.log
各种系统后台守护进程日志信息。


5、/var/log/dpkg.log
软件包的安装升级删除日志


8、/var/log/mail.log
电子邮件服务器日志。例如：sendmail日志。

9、/var/log/user.log
所有等级用户信息的日志。


7、/var/log/lastlog
记录所有用户的最近信息。这不是一个纯文本文件，需要用lastlog命令查看内容。


10、/var/log/Xorg.x.log
X的日志信息，此处x可为数字0，1，2等。


11、/var/log/alternatives.log
更新替代信息日志。


12、/var/log/btmp
记录所有失败登录信息。不是纯文本日志，需要使用last命令可以查看btmp文件。例如，”last -f /var/log/btmp | more“。


14、/var/log/wtmp
登录信息。非纯文本日志，需要使用last命令查看wtmp日志。




16、/var/log/ufw.log
防火墙日志

除了以上这些日志文件以外，还有其他日志，请自行查看。