Linux 有哪些系统日志文件？

封面图 • 2025-11-05 • Linux

在 Linux 系统中，系统日志文件用于记录系统运行时的各种信息，包括内核消息、服务状态、用户登录、错误信息等。不同的 Linux 发行版可能使用不同的日志系统，但常见的系统日志文件如下：

---

### 一、传统日志系统（syslog）

这些日志文件通常由 `syslogd` 或 `rsyslogd` 这类日志守护进程管理。

#### 常见的日志文件：

| 文件路径 | 内容说明 |
|----------|----------|
| `/var/log/syslog` | 系统日志（Debian/Ubuntu） |
| `/var/log/messages` | 系统日志（Red Hat/CentOS） |
| `/var/log/auth.log` | 认证相关日志（如 SSH 登录、sudo 使用等）（Debian/Ubuntu） |
| `/var/log/secure` | 认证相关日志（Red Hat/CentOS） |
| `/var/log/kern.log` | 内核相关的日志 |
| `/var/log/boot.log` | 系统启动过程的日志 |
| `/var/log/dpkg.log` | Debian 系统中软件包安装和更新日志 |
| `/var/log/yum.log` | Red Hat/CentOS 中使用 yum 安装/更新的记录 |
| `/var/log/cron` | cron 定时任务执行日志 |
| `/var/log/maillog` | 邮件服务器日志（如 Postfix） |
| `/var/log/daemon.log` | 守护进程日志 |
| `/var/log/user.log` | 用户自定义日志（部分系统） |

---

### 二、systemd-journald（现代 Linux 发行版）

在使用 `systemd` 的系统中，日志通常由 `journald` 管理，可以使用 `journalctl` 工具查看。

#### 查看日志命令示例：

```bash
journalctl -b              # 查看本次启动的日志
journalctl -u sshd.service # 查看 sshd 服务的日志
journalctl --list-boots    # 查看所有启动记录
```

#### 日志存储位置：

- `/var/log/journal/`：systemd-journald 存储的二进制日志文件（需要权限访问）
- 可以通过 `journalctl --output=json` 导出为 JSON 格式

---

### 三、其他常见日志文件

| 文件路径 | 内容说明 |
|----------|----------|
| `/var/log/utmp` | 当前登录用户的记录（`who`, `w` 命令显示） |
| `/var/log/wtmp` | 历史登录记录（`last` 命令显示） |
| `/var/log/faillog` | 登录失败记录 |
| `/var/log/xferlog` | FTP 传输日志（如 vsftpd） |
| `/var/log/audit/audit.log` | SELinux 或 audit 审计日志 |
| `/var/log/lastlog` | 每个用户最后登录时间 |

---

### 四、Web 服务器日志（Apache/Nginx）

| 文件路径 | 内容说明 |
|----------|----------|
| `/var/log/apache2/access.log` | Apache 访问日志 |
| `/var/log/apache2/error.log` | Apache 错误日志 |
| `/var/log/nginx/access.log` | Nginx 访问日志 |
| `/var/log/nginx/error.log` | Nginx 错误日志 |

---

### 五、数据库日志（MySQL/MariaDB）

| 文件路径 | 内容说明 |
|----------|----------|
| `/var/log/mysql/error.log` | MySQL 错误日志 |
| `/var/log/mariadb/mariadb.log` | MariaDB 日志 |
| `/var/log/mysql/slow.log` | MySQL 慢查询日志 |

---

### 六、Docker 日志

如果使用 Docker，容器日志通常保存在：

- `/var/lib/docker/containers/<container_id>/<container_id>-json.log`

可以通过 `docker logs <container_name>` 查看。

---

### 七、Linux 日志管理工具

- `rsyslog`：主流的日志系统（大多数 Linux 发行版默认）
- `syslog-ng`：另一个日志系统（较旧发行版可能使用）
- `journald`：systemd 提供的日志系统
- `logrotate`：日志轮转工具，防止日志过大

---

如果你想知道某个特定系统的日志文件，可以告诉我你的 Linux 发行版（如 Ubuntu、CentOS、Fedora 等），我可以提供更具体的建议。