1系统日志

/var/log/messages不仅仅有服务器的系统日志，还有许多其他服务的日志。一般用如下命令查看日志的最后10条：

tail -n10 /var/log/messages

2 系统安全日志

/var/log/secure记录登陆系统存取数据的文件，如POP3、SSH、Telnet、FTP等都会被记录，可以从这个文件查找出不安全登陆的IP。

3 记录登陆者的数据

/var/log/wtmp记录登陆者的信息，这个是二进制文件，直接查看是不行的，所以必须使用last命令取出文件内容。

[root@localhost ~]# last
root     pts/1        123.118.20.130   Sun May 24 12:08   still logged in
root     pts/0        128.199.195.201  Sun May 24 11:30   still logged in

4 记录系统时间

/var/log/lastlog记录每个使用者最近登陆系统的时间，但登陆的时候，就会显示上次登陆的时间，如果这个时间不是你上次登陆的时间，那么，你的账号就可能被盗取了。此可执行文件可以用/usr/bi/lastlog命令读取。

[root@localhost ~]# lastlog
Username         Port     From             Latest
root             pts/1    123.118.20.130   Sun May 24 12:08:56 +0800 2015
bin                                        **Never logged in**
daemon                                     **Never logged in**
adm                                        **Never logged in**
lp                                         **Never logged in**
sync                                       **Never logged in**
shutdown                                   **Never logged in**
halt                                       **Never logged in**
mail                                       **Never logged in**
uucp                                       **Never logged in**
operator                                   **Never logged in**
games                                      **Never logged in**
gopher                                     **Never logged in**
ftp                                        **Never logged in**
nobody                                     **Never logged in**
dbus                                       **Never logged in**
vcsa                                       **Never logged in**
abrt                                       **Never logged in**
haldaemon                                  **Never logged in**
ntp                                        **Never logged in**
saslauth                                   **Never logged in**
postfix                                    **Never logged in**
sshd                                       **Never logged in**
tcpdump                                    **Never logged in**
nscd                                       **Never logged in**
mysql                                      **Never logged in**
zabbix                                     **Never logged in**

5 服务器的邮件日志

服务器的邮件为/var/log/messages，如果需要专业日志分析，推荐使用Awstats;如果公司的开发对邮件的要求比较低，可以配置最简单的Sendmail或者postfix，通过查看日志里的status状态判断邮件是否正确发送。在配置Nagios服务器时，也可以用此日志判断报警邮件是否发送。

6 输出iptables日志到一个指定的文件

iptables在内核中建立、维护和检查IP包过滤规则，iptables自身的三个表可能已经创建，每一个表包含很多内嵌的链，也包含用户自定义的链。iptables默认把日志信息输出到/var/log/messages中。但是你也可以修改日志输出的位置。这样可以帮助更好的统计信息，分析日志，分析网络攻击信息。下面介绍如何创建一个新的日志文件/var/log/iptables.log
首先打开/etc/syslog.conf文件：

vim /etc/syslog.conf

然后再文件的最后加入如下信息：

kern.warning /var/log/iptables.log

最后关闭文件，用下面的命令重启syslogd:

service syslog restart

7 日志文件专业分析工具

linux系统的一些常见服务如：Apache，Nginx，Squid等，都有自己特定的日志文件，不过由于其复杂的格式，还是推荐使用专业工具Awstats，Webalizer等进行分析。

8 用dmesg查看启动消息

dmesg提供了一个简单的方法查看系统启动信息，当linux启动的时候，内核的信息被存入内核ring缓存当中，dmesg可以显示缓存中的内容。默认情况下，dmesg打印内容到屏幕上，当然，你也可以重定向到一个输出文件中。如果硬件损坏，会显示在dmesg日志中，可以用命令：

dmesg |grep error

来查看相关内容，其实看到的也就是/var/log/dmesg中的内容。

9 关于cron的日志

默认情况下，在crontab中执行的日志卸载/var/log中，我们可以看看/etc/syslog.conf里的配置，通过命令

grep cron/etc/syslog.conf

来查看,命令的显示如下：
接着看/var/log/下的cron日志，命令如下：

ls -lsart /var/log/cron*

命令回显如下：

[root@localhost ~]# ls -larts /var/log/cron*
132 -rw------- 1 root root 130640 May  3 03:19 /var/log/cron-20150503
132 -rw------- 1 root root 130569 May 10 03:17 /var/log/cron-20150510
136 -rw------- 1 root root 131536 May 17 03:23 /var/log/cron-20150517
132 -rw------- 1 root root 130955 May 24 03:08 /var/log/cron-20150524
  8 -rw------- 1 root root   7537 May 24 12:30 /var/log/cron