Linux日志查看与/var/log目录解析

Linux系统日志是洞察系统运行状态、排查故障、追踪安全事件和满足合规审计要求的核心依据，本文全面解析了/var/log目录下各类文本日志（如auth.log、secure、messages、dmesg等）的定位与读取方法，并重点介绍了systemd环境下更强大灵活的journalctl日志查询技巧；同时涵盖日志轮转管理（logrotate）、高效审计筛选（grep/awk实战）、权限与完整性校验等关键运维实践，助你从海量日志中精准捕获异常信号，筑牢系统可观测性与安全防线。

如果您需要排查系统异常、分析安全事件或进行合规审计，查看Linux系统日志是关键操作。/var/log目录集中存储了内核、服务、认证及应用程序等多类日志文件，其结构和内容直接反映系统运行状态与历史行为。以下是针对该目录的详细解析与查看方法：

一、使用journalctl查看systemd日志

对于采用systemd初始化系统的现代Linux发行版（如CentOS 7+、Ubuntu 16.04+），journalctl是统一的日志查询工具，可读取二进制日志并支持时间范围、服务单元、优先级等过滤。

1、查看全部日志（按时间倒序）：journalctl -b

2、查看最近一次启动以来的内核日志：journalctl -k -b

3、查看指定服务（如sshd）的全部日志：journalctl -u sshd.service

4、实时跟踪新日志输出：journalctl -fu nginx.service

5、按优先级筛选错误日志（优先级0-7，0为emerg，7为debug）：journalctl -p err

二、直接读取/var/log下的核心文本日志文件

/var/log中多数传统日志为纯文本格式，可使用cat、less、tail等命令即时查看，适用于无systemd环境或需长期归档分析的场景。

1、查看系统启动与硬件检测信息：less /var/log/dmesg

2、查看用户登录、sudo操作、su切换等认证事件：less /var/log/auth.log（Debian/Ubuntu）或less /var/log/secure（RHEL/CentOS）

3、查看系统常规消息（内核、守护进程、启动脚本输出）：less /var/log/messages（RHEL/CentOS）或less /var/log/syslog（Debian/Ubuntu）

4、查看cron任务执行记录：less /var/log/cron

5、查看Apache或Nginx访问与错误日志（若已安装）：tail -n 20 /var/log/apache2/access.log 或 tail -n 20 /var/log/nginx/error.log

三、使用logrotate管理日志轮转与归档

系统默认通过logrotate定期压缩、重命名并删除旧日志，防止/var/log占满磁盘空间。配置文件位于/etc/logrotate.conf及/etc/logrotate.d/下各服务子配置，审计时需确认轮转策略是否满足保留周期要求。

1、查看当前logrotate主配置：cat /etc/logrotate.conf

2、检查sshd服务日志轮转规则：cat /etc/logrotate.d/sshd

3、手动触发一次logrotate（测试配置有效性）：logrotate -f /etc/logrotate.conf

4、确认轮转后日志文件命名规律（如messages.1、messages.2.gz）：ls -lt /var/log/messages*

5、解压并查看被压缩的旧日志：zcat /var/log/messages.2.gz | less

四、利用grep与awk进行日志审计筛选

在海量日志中定位特定事件（如暴力破解IP、特权命令执行、失败登录）需结合文本处理工具，提升审计效率与准确性。

1、搜索所有失败的SSH登录尝试（含IP地址）：grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr

2、提取过去24小时内sudo执行的命令及其执行者：journalctl --since "24 hours ago" | grep "sudo\[" | awk '{print $1,$2,$3,$9,$10,$11}'

3、查找包含关键词“authentication failure”的所有行并高亮显示：grep --color=always "authentication failure" /var/log/secure

4、统计各用户登录成功次数：grep "Accepted" /var/log/auth.log | awk '{print $9}' | sort | uniq -c | sort -nr

5、导出指定时间段内的日志片段（例如2024-05-10 14:00至15:00）：sed -n '/May 10 14:00:/, /May 10 15:00:/p' /var/log/messages

五、检查日志文件权限与完整性

审计过程中必须验证日志文件是否被未授权修改或删除，重点核查属主、权限位及SELinux上下文（如启用）。

1、列出/var/log下关键日志文件的权限与属主：ls -l /var/log/auth.log /var/log/secure /var/log/messages

2、确认日志文件属主为root且权限不高于640：stat -c "%U %G %A %n" /var/log/secure

3、检查是否存在非root写入权限（如权限为664或666）：find /var/log -type f -perm /22 -ls

4、验证rsyslog或journald服务是否正在运行并写入日志：systemctl status rsyslog 或 systemctl status systemd-journald

5、检查日志目录是否启用不可变属性（chattr +a仅允许追加）：lsattr /var/log

今天关于《Linux日志查看与/var/log目录解析》的内容就介绍到这里了，是不是学起来一目了然！想要了解更多关于的内容请关注golang学习网公众号！