17个需要监控的 Linux 日志文件，如何通过它们查漏补缺？

监控领域，通常最应该监控的是业务的北极星指标、应用的RED指标，因为这些指标直接关联业务营收和用户体验。对于下层的机器类指标、日志等，通常也会配置告警规则，但是级别通常比较低，这类告警的核心价值相当于提前从纷繁复杂的指标、日志数据中提取了一些重点信息，帮助我们在故障时优先读取这些少量的有价值的信息，提升故障定位效率。

系统日志是最基础的监控数据，Linux 系统日志文件通常存储在 /var/log 目录下，不同的日志文件记录了不同的信息，本文会罗列一些常见的 Linux 日志文件，以及它们的作用。帮你查漏补缺。

1、/var/log/syslog 或 /var/log/messages

系统日志文件捕获广泛的系统消息，包括来自各种守护进程、系统进程和内核消息的消息。它们作为系统活动的综合记录。

对于一般的 Linux 日志分析至关重要，因为它们包含有关系统错误、警告和其他重要事件的信息（常见的，比如 OOM 的日志）。这些日志有助于诊断影响系统稳定性和性能的问题。

2、/var/log/auth.log 或 /var/log/secure

auth.log 或 secure 日志记录认证相关的事件，例如成功和失败的登录尝试、用户权限更改和其他身份验证机制。对于识别未经授权的访问尝试和潜在的安全漏洞至关重要。通过此日志我们可以了解到谁访问系统以及何时访问系统。

通过 grep “Failed password” /var/log/auth.log 可以查看登录失败的记录，那自然也可以把Failed password 作为关键词配置告警规则。

3、/var/log/kern.log

kern.log 包含了 Linux 内核消息。它包括有关硬件事件、驱动程序消息和其他内核相关活动的信息。内核日志对于诊断与硬件和驱动程序相关的问题至关重要，这对于系统稳定性和性能至关重要。

当然，也可以通过 dmesg 命令查看内核日志，比如 dmesg -T | grep -i error 可以查看内核错误。同样的，也可以把 error 作为关键词配置告警规则。

4、/var/log/boot.log

boot.log 记录与系统启动过程相关的事件，包括启动的服务及其状态。此日志对于排查启动问题至关重要。它有助于识别启动失败的服务、启动过程的延迟以及其他与启动相关的问题。

比如使用 less /var/log/boot.log 浏览这个文件，查找标有“FAILED”或“ERROR”的行，以找出启动失败的服务。

5、/var/log/dmesg

dmesg 日志包含来自内核 ring buffer 的消息，其中包括有关硬件组件、驱动程序和内核初始化的信息。此日志对于硬件诊断和监控系统性能很有价值。它有助于识别硬件故障和性能瓶颈。

6、/var/log/cron

cron 日志记录的是计划任务的运行情况。有助于诊断任务调度和执行方面的问题。

7、/var/log/maillog 或 /var/log/mail.log

Mailog 或 mail.log 捕获与邮件服务器活动相关的事件，包括电子邮件投放和错误。监控邮件日志对于邮件服务器管理和解决电子邮件投递问题至关重要。它们有助于确保组织内外的可靠通信。

使用 tail -f /var/log/maillog 检查邮件日志，查找包含“error”或“failed”的行以识别问题。

8、/var/log/httpd/access.log 或 /var/log/apache2/access.log

此日志记录对 Web 服务器的所有访问请求，包括 IP 地址、请求类型和响应状态等详细信息。访问日志对于监控 Web 流量和识别潜在安全威胁至关重要。它们提供对访问者行为的洞察，并有助于优化网站性能。

9、/var/log/httpd/error.log 或 /var/log/apache2/error.log

此日志捕获 Apache Web 服务器遇到的错误，包括 Apache 服务器配置问题、应用程序错误和客户端相关问题。错误日志对于诊断 Web 服务器及其上运行的应用程序的问题至关重要。它们有助于确保网站和 Web 服务的顺利运行。

10、/var/log/NGINX/access.log

此日志记录对 NGINX Web 服务器的所有访问请求，包括 IP 地址、请求方法、响应状态和用户代理等详细信息。监控 NGINX 访问日志对于了解 Web 流量和用户行为以及识别潜在的安全威胁（如 DDoS 攻击或未经授权的访问尝试）至关重要。

使用 tail -f /var/log/NGINX/access.log 实时监控访问，分析这些日志有助于优化Web性能和改进安全措施，像 goaccess 这样的工具可以提供实时Web日志分析和可视化报告。

11、/var/log/NGINX/error.log

此日志捕获 NGINX Web 服务器遇到的错误，包括配置问题、服务器错误和与客户端相关的问题。错误日志对于诊断Web服务器及其托管的应用程序的问题至关重要。它们通过提供对问题所在和时间的见解来帮助确保您的网站和Web服务的顺利运行。

12、/var/log/mysql.log 或 /var/log/mysql/error.log

此日志记录与MySQL数据库服务器相关的活动和错误，包括查询、连接和性能问题。监控MySQL日志对于数据库管理、故障排除问题和确保高效的数据库操作至关重要。

13、/var/log/ufw.log

ufw.log 记录与简单防火墙（UFW）相关的事件，包括允许和拒绝的连接尝试。防火墙日志对于监控网络安全和检测未经授权的访问尝试至关重要。它们有助于维护安全的网络环境。

通过 tail 等命令查看 UFW 日志，比如查找来自同一IP的重复拒绝尝试，这可能表明存在安全威胁。定期审查有助于确保防火墙规则有效。

14、/var/log/audit/audit.log

审计日志包含来自审计守护程序的详细记录，捕获广泛的系统事件以用于安全审计和合规性目的。审计日志对于详细的安全分析和遵守法规至关重要。它们提供了系统活动和更改的全面视图。

使用aussearch 和 auReport 工具从审计日志中搜索和生成报告。定期审计有助于确保系统安全和符合策略。

15、/var/log/daemon.log

守护进程日志记录来自系统守护进程的消息，这些守护进程是系统上运行的后台服务。守护程序日志对于监控后台服务的运行状况和性能至关重要。它们有助于解决服务操作问题。

16、/var/log/btmp

Btmp 日志记录失败的登录尝试，提供未经授权的访问尝试的记录。Btmp对于安全监控至关重要。它有助于检测和响应未经授权的访问尝试，增强系统安全性。

使用lastb 命令查看失败的登录尝试。

17、/var/log/wtmp

wtmp 日志记录登录和注销事件，跟踪系统上的用户活动。wtmp 对于跟踪用户行为和了解系统使用模式很重要。它有助于审核用户活动和检测异常。

使用 last 命令查看登录历史记录。分析模式以确保用户遵循预期行为并检测任何可疑活动。