在 Linux 系统的日常运维与安全管理中，日志文件的重要性不言而喻。日志不仅记录着系统运行的点点滴滴，更是排查故障、发现异常、提前预警的第一手证据。

作为一名系统管理员、安全工程师，甚至普通开发者，了解并监控哪些日志是“高价值日志”，将直接影响你的工作效率与系统稳定性。

今天，我们一起盘点 17 个必须重点监控的 Linux 日志文件，这些日志涵盖系统、服务、安全、数据库、Web 等多个关键环节。

一、系统核心日志

1. /var/log/messages

系统级日志，记录内核、服务、驱动等重要消息，是最基础的系统健康日志。

2. /var/log/kern.log

专门记录内核级消息，适用于监控硬件故障、驱动冲突、内核异常。

3. /var/log/boot.log

系统启动过程日志。排查系统启动失败、启动缓慢时的关键依据，包括自启动的服务。

4. /var/log/syslog（Debian/Ubuntu）

综合性系统日志，记录系统、服务和应用程序的运行状态。

5. dmesg（命令输出）

内核缓冲区日志，主要包含硬件设备的启动、挂载、驱动加载信息。

二、安全认证日志

6. /var/log/auth.log（Debian系） 或 /var/log/secure（RedHat系）

记录登录、sudo、ssh 认证、失败的登录尝试等关键安全事件。

7. /var/log/audit/audit.log

通过 auditd 守护进程记录系统安全事件，适用于高安全等级的合规场景。

8. /var/log/fail2ban.log

如果部署了 Fail2ban 防爆破工具，这个日志会记录哪些 IP 被封禁、哪些异常行为被拦截。

三、任务调度与软件安装日志

9. /var/log/cron 或 /var/log/syslog（含 cron 信息）

记录定时任务的执行情况，是否按时启动、是否出错一目了然。

10. /var/log/yum.log 或 /var/log/dnf.log

记录通过 yum/dnf 安装、升级、删除软件包的全过程，有助于审计软件变更。

四、Web 服务日志

11. /var/log/nginx/access.log 与 /var/log/nginx/error.log

Nginx 访问与错误日志，适用于分析流量、访问来源、404、502、500 等问题。

12. /var/log/httpd/access_log 与 /var/log/httpd/error_log

Apache 的访问与错误日志，结构与 Nginx 类似。

五、数据库日志

13. /var/log/mysql/error.log

MySQL 数据库运行、启动、连接失败、SQL 报错等信息。

14. /var/log/postgresql/postgresql-*.log

PostgreSQL 的详细运行日志，适用于数据库性能与安全监控。

六、容器日志

15. /var/lib/docker/containers/<container-id>/<container-id>-json.log

Docker 容器级日志，适用于排查容器应用异常、崩溃等问题。

七、应用日志

16. 各应用自定义日志（路径由开发者配置）

企业系统、自研服务、第三方应用，往往都有各自的日志文件，需要根据实际路径重点监控。

八、其他常用日志

17. /var/log/maillog 或 /var/log/mail.log

记录邮件系统运行状态、投递异常，适合部署邮件服务器的场景。

图表汇总