在 Linux 系统的日常运维与安全管理中,日志文件的重要性不言而喻。日志不仅记录着系统运行的点点滴滴,更是排查故障、发现异常、提前预警的第一手证据。
作为一名系统管理员、安全工程师,甚至普通开发者,了解并监控哪些日志是“高价值日志”,将直接影响你的工作效率与系统稳定性。
今天,我们一起盘点 17 个必须重点监控的 Linux 日志文件,这些日志涵盖系统、服务、安全、数据库、Web 等多个关键环节。
一、系统核心日志
1. /var/log/messages
系统级日志,记录内核、服务、驱动等重要消息,是最基础的系统健康日志。
2. /var/log/kern.log
专门记录内核级消息,适用于监控硬件故障、驱动冲突、内核异常。
3. /var/log/boot.log
系统启动过程日志。排查系统启动失败、启动缓慢时的关键依据,包括自启动的服务。
4. /var/log/syslog(Debian/Ubuntu)
综合性系统日志,记录系统、服务和应用程序的运行状态。
5. dmesg(命令输出)
内核缓冲区日志,主要包含硬件设备的启动、挂载、驱动加载信息。
二、安全认证日志
6. /var/log/auth.log(Debian系) 或 /var/log/secure(RedHat系)
记录登录、sudo、ssh 认证、失败的登录尝试等关键安全事件。
7. /var/log/audit/audit.log
通过 auditd 守护进程记录系统安全事件,适用于高安全等级的合规场景。
8. /var/log/fail2ban.log
如果部署了 Fail2ban 防爆破工具,这个日志会记录哪些 IP 被封禁、哪些异常行为被拦截。
三、任务调度与软件安装日志
9. /var/log/cron 或 /var/log/syslog(含 cron 信息)
记录定时任务的执行情况,是否按时启动、是否出错一目了然。
10. /var/log/yum.log 或 /var/log/dnf.log
记录通过 yum/dnf 安装、升级、删除软件包的全过程,有助于审计软件变更。
四、Web 服务日志
11. /var/log/nginx/access.log 与 /var/log/nginx/error.log
Nginx 访问与错误日志,适用于分析流量、访问来源、404、502、500 等问题。
12. /var/log/httpd/access_log 与 /var/log/httpd/error_log
Apache 的访问与错误日志,结构与 Nginx 类似。
五、数据库日志
13. /var/log/mysql/error.log
MySQL 数据库运行、启动、连接失败、SQL 报错等信息。
14. /var/log/postgresql/postgresql-*.log
PostgreSQL 的详细运行日志,适用于数据库性能与安全监控。
六、容器日志
15. /var/lib/docker/containers/<container-id>/<container-id>-json.log
Docker 容器级日志,适用于排查容器应用异常、崩溃等问题。
七、应用日志
16. 各应用自定义日志(路径由开发者配置)
企业系统、自研服务、第三方应用,往往都有各自的日志文件,需要根据实际路径重点监控。
八、其他常用日志
17. /var/log/maillog 或 /var/log/mail.log
记录邮件系统运行状态、投递异常,适合部署邮件服务器的场景。