1、系统日志

　　/var/log/messages不仅是服务器的系统日志，很多时候它也包括许多服务的日志，所以它被称为“杂货铺”，建议重点关注。大家一般都喜欢用以下命令来看最后10条日志：tail -n10/var/log/messages。

　　其实还可以将一段日志保存成文件（Xmanager3.0企业版的shell也有日志录像截取功能），或者直接用vim来处理。我以前配置主从复制的bind服务器时，有时会因为权限的原因报错，这时就可以在一台报错的服务器上用命令tail -f/var/log/messages实时查看服务器的日志变化情况，从而查找错误的蛛丝马迹。事实证明，效果很好，而且将此命令用于lvs+keepalived的排错效果也不错。其他服务器配置排错以此类推，这个做法也推荐读者掌握。

　　2、系统安全日志

　　/var/log/secure记录登录系统存取数据的文件，例如POP3、SSH、Telnet、FTP等都会被记录，我们可以利用此文件找出不安全的登录IP。目前比较流行的SSH防暴力破解工具DenyHosts主要也是读此文件。另外，我写了一个原理类似的shell安全脚本，用于线上服务器，在后面的章节跟大家分享。

　　3、记录登录者的数据

　　/var/log/wtmp记录登录者的信息数据，由于此文件已经被编码过（为二进制文件），想用cat等命令直接查看是不行的，必须使用last指令来取出文件的内容，如下所示：

　　4、记录登录时间

　　/var/log/lastlog记录每个使用者最近登录系统的时间。因此当使用者登录时，就会显示其上次登录的时间，你应该注意一下这个时间，若此时间不是你上次登录的时间，表示账号可能被人盗用了。此可执行文件可用/usr/bin/lastlog指令读取（在FreeBSD8&FreeBSD8.1下为/usr/sbin/lastlogin）。使用此命令后的记录如下所示：