Linux 由rsyslog服务生成的常见日志文件

/var/log/secure：

  记录系统安全的一些信息

  例如：用户账号登录的信息，ssh的登录日志信息就记录到这儿

/var/log/btmp：

  只记录失败的登录信息。不是普通的文本文件，而是一个二进制格式的文件。

  可以使用lstb命令来查看

/var/log/wtmp：

  记录系统重启，用户登录的时间信息。二进制格式，

  last命令可以查看

/var/log/lastlog:

  记录每个账号最后一次成功登录的信息。二进制的格式，

  使用lastlog命令可以查看

/var/log/dmesg：

  （CentOS7 之前版本）内核启动时候的硬件情况，centos8没有这个文件。

  使用dmesg命令查看，可持续记录硬件变化的情况。

/var/log/boot.log

  系统服务启动的相关信息，文本格式

/var/log/messages

  存放系统中大部分的日志信息。

  例如服务的启动失败可以在这个文件中看到很多提示信息

/var/log/anaconda

  anaconda的日志。分析系统安装的时候安装了哪些软件包。

范例：找到失败登录的IP

#lastb记录了失败登录的信息
[root@LogServer log]# lastb 
root     ssh:notty    10.0.0.17        Wed Oct 19 11:37 - 11:37  (00:00)
root     tty1                          Sat Aug 13 06:55 - 06:55  (00:00)

btmp begins Sat Aug 13 06:55:27 2022

#NF表示最后一列
[root@LogServer log]# awk '/Failed password/{print $(NF-3)}' /var/log/secure
10.0.0.17

范例：找出失败登录次数最多的前10个IP