centos查看系统日志

centos selinux日志在哪看

CentOS系统的SELinux日志位于/var/log/audit/audit.log。

查看方法：
1 ．直接查看文件 sudo cat /var/log/audit/audit.log sudo less /var/log/audit/audit.log 用于快速浏览。
如果信息量很大，可以使用过滤工具。

2 ausearch 过滤 AVC 日志 立即了解 AVC： sudo ausearch -m avc -t 今天 查看最新的 AVC： sudo ausearch -m avc -t 现在 最后时间： sudo ausearch -m avc -ts 最近 -tenow -hh1 -hh1
3 grep 过滤关键字 搜索包含 avc: sudo grep avc /var/log/audit/audit.log 测试具体流程： sudo grep“avc.denied.httpd”/var/log/audit/audit.log
4 密封分析 sudo sealert -a /var/log/audit/audit.log 自动分析AVC错误并提供修复建议。

5 旋转日志 Auditd 管理日志并在每次循环时对其进行压缩。
查看历史记录： sudo zgrep avc /var/log/audit/audit.log.1 .gz
要点：

/var/log/audit/audit.log 是核心文件。

常用命令：ausearch -m avc、grep avc、sealert。

需要 Sudo 权限和文件所有者 root。

示例：
问题：由于 SELinux，Apache 服务被拒绝。

步骤： 1 、搜索日志： sudo grep“avc.denied.httpd”/var/log/audit/audit.log 2 .如果时间太长： sudo ausearch -m avc -ts 最近 -tenow | grep httpd 3 、调整策略： setebool -P httpd_can_network_connect 1
算了。

Linux如何查看系统日志_Linux系统日志查看的实用技巧

在Linux系统上读取日志有两点：知道日志存放在哪里，并且可以使用命令来读取日志。

首先我们来说说存储路径。
Linux的日志基本上都在/var/log目录下。
该目录是一个摘要位置。

/var/log/messages：这是一般系统日志。
比如系统启动后一切都记录在这里。
这在 CentOS 和 RHEL 等系统中很常见。
/var/log/syslog：这是 Ubuntu 和 Debian 系统的主日志。
所有系统消息都放在这里。
/var/log/auth.log：这里记录用户登录、sudo 操作和其他与身份验证相关的问题。
/var/log/kern.log：内核日志。
一般是硬件或者驱动问题。
请阅读它。
/var/log/dmesg：系统启动时，此处记录硬件检测状态。
/var/log/boot.log：这里记录系统启动过程以及服务如何启动。
现代Linux系统，例如使用systemd的系统，使用名为journalctl的工具来读取日志。

要查看所有日志：只需输入journalctl。
按时间查看，例如查看两小时前的事件：journalctl -输入“2 hoursago”。
要查看 1 0:00 之前的事件：journalctl - 输入直到“1 0:00”。
查看具体服务日志：例如查看ssh服务，输入journalctl -u ssh.service。
实时监控：journalctl -f。
检查此启动：journalctl -b。
首先过滤。
例如，要仅查看错误级别，请输入journalctl -p err。

对于传统日志记录，只需使用 grep、tail 和 less 命令。

实时监控：tail -f /var/log/syslog。
搜索关键字：例如要查找SSH登录失败的情况，输入grep "Failed password" /var/log/auth.log。
查看最后 1 00 行：tail -n 1 00 /var/log/messages。
查看页面中的大型日志：less /var/log/syslog。
按 Shift+F 实时附加。

日志增长，需要监控。
使用logrotate工具进行自动轮转。

配置文件位于/etc/logrotate.conf和/etc/logrotate.d/中。
您可以设置参数，例如文件大小以及持续时间。

如果要手动清理，先备份重要数据，然后直接不要删除正在写入的记录。
要清除特定日志的内容，请输入 sudo truncate -s 0 /var/log/syslog。

具体问题请参阅专用日志：
系统启动问题：请参阅/var/log/boot.log 或journalctl -b。
用户身份验证问题：请参阅/var/log/auth.log。
服务运行状态：journalctl -u 服务名称，或 tail -f /var/log/service log。
硬件或驱动程序问题：检查 /var/log/kern.log 或 dmesg。

就是这样，用了就习惯了。
主要是根据问题选择合适的日志源。