默认日志目录
linux
系统日志
| 日志类别 | 日志文件/目录 | 说明 | 典型发行版 |
|---|---|---|---|
| 系统日志 | /var/log/syslog |
系统事件和服务日志(多信息汇总) | Debian/Ubuntu |
/var/log/messages |
系统和内核信息日志 | RHEL/CentOS/Fedora | |
/var/log/dmesg |
内核环缓冲区日志,启动硬件信息 | 通用 | |
/var/log/kern.log |
内核日志 | Debian/Ubuntu | |
/var/log/boot.log |
启动过程日志 | 通用 | |
/var/log/cron |
定时任务日志 | 通用 | |
/var/log/lastlog |
所有用户的最后登录时间 | 通用 | |
/var/log/wtmp |
登录/注销记录,last 命令查看 |
通用 | |
/var/log/btmp |
失败的登录尝试记录,lastb 查看 |
通用 | |
| 安全认证日志 | /var/log/auth.log |
认证、登录、sudo操作日志 | Debian/Ubuntu |
/var/log/secure |
认证、登录、sudo操作日志 | RHEL/CentOS/Fedora | |
| 审计日志 | /var/log/audit/audit.log |
auditd 审计日志,系统调用、安全事件 | 需要安装 auditd |
| 系统服务 | journalctl(无固定日志文件,使用系统日志管理) |
系统服务日志 | 通用 |
Linux 常见的应用程序日志目录和文件
| 应用类型 | 应用名称 | 日志文件或目录 | 说明 |
|---|---|---|---|
| Web服务器 | Apache HTTP Server | /var/log/apache2/(Ubuntu/Debian)/var/log/httpd/(CentOS/RHEL) |
访问日志 access.log,错误日志 error.log |
| Nginx | /var/log/nginx/ |
访问日志 access.log,错误日志 error.log |
|
| 数据库 | MySQL / MariaDB | /var/log/mysql//var/log/mariadb/ |
查询日志、错误日志等 |
| 邮件服务器 | Postfix | /var/log/mail.log 或 /var/log/maillog |
邮件发送接收日志 |
| Exim | /var/log/exim4/(Debian系) |
邮件日志 | |
| Dovecot | /var/log/dovecot.log |
邮件服务器日志 | |
| FTP服务器 | vsftpd | /var/log/vsftpd.log 或 /var/log/xferlog |
传输日志 |
| proftpd | /var/log/proftpd/ |
传输和错误日志 | |
| 容器管理 | Docker | /var/log/docker.log(或由 systemd 管理) |
容器运行日志 |
| 监控工具 | Prometheus | 自定义目录,通常在 /var/log/prometheus/ |
监控数据及运行日志 |
| 备份工具 | rsync | 一般无默认日志,需要自行配置 | 备份传输日志 |
| 代理服务器 | Squid Proxy | /var/log/squid/ |
访问日志、缓存日志 |
windows
按Win + R,输入eventvwr
常见日志分类
| 日志类型 | 路径 | 说明 |
|---|---|---|
| Application | 事件查看器 → Windows 日志 → Application | 应用程序产生的日志,错误和警告等 |
| System | 事件查看器 → Windows 日志 → System | 系统和驱动的日志,检测启动、崩溃、硬件错误等 |
| Security | 事件查看器 → Windows 日志 → Security | 登陆、登出、提权等安全审计记录 |
| Setup | 事件查看器 → Windows 日志 → Setup | 系统安装、更新和配置相关日志 |
| Forwarded Events | 事件查看器 → Windows 日志 → Forwarded Events | 聚合其他机器转发来的日志 |
Windows 事件日志常见错误代码和对应意义
| 事件ID | 来源 | 含义 | 场景示例 |
|---|---|---|---|
| 41 | Kernel-Power | 意外关机或重启 | 电脑突然断电、崩溃 |
| 1001 | BugCheck | 蓝屏崩溃记录 | 检查对应错误代码确定蓝屏原因 |
| 6008 | EventLog | 非正常关机 | 重启、掉电后进入Windows |
| 1000 | Application Error | 应用程序崩溃 | 程序异常退出,通常附带崩溃模块和代码 |
| 1014 | DNS Client Events | 域名解析失败 | 网络问题、DNS配置错误 |
| 55 | Ntfs | 文件系统错误 | 硬盘或分区潜在问题 |
| 10016 | DistributedCOM | COM/DCOM 权限错误 | 某些应用因没有适当授权而出警告 |
| 7031 / 7034 | Service Control Manager | 服务意外停止 | 某服务崩溃或被强行停止 |
| 1002 | Application Hang | 应用无响应 | 程序卡死、无响应 |
| 4625 | Security | 登录失败 | 非法登录尝试 |
| 4672 | Security | 管理员特权登录 | 管理员账户登录记录 |
| 4771 | Security | Kerberos 预身份验证失败 | 域登录失败,通常为密码错误 |
| 4740 | Security | 账户被锁定 | 用户账户连续登录失败导致锁定 |
简单排查思路
- 检查 System 和 Application 中是否有 Error 或 Warning。
- 按 Event ID 定位问题,例如:
- 找到 41 → 检查是否为掉电或过载。
- 找到 1000 / 1001 → 检查是否应用崩溃。
- 在安全日志检查是否有:
- 大量 4625 → 可疑登录尝试。
- 大量 4740 → 用户账户锁定。
- 检查是否有磁盘错误 (55)、服务错误 (7031、7034)。
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 HAHA!
