总述

本文讲述了 Linux 的常见日志：
	系统日志、中间件日志、框架日志、行为日志 等相关日志的 存储位置 以及 清除。

神

0. Linux 总阐述

Linux系统拥有非常灵活和强大的日志功能，可以保存几乎所有的操作记录，并可以从中检索出我们需要的信息。本文简介一下Linux系统日志及日志分析技巧。

日志对于系统的安全来说非常重要，它记录了系统每天发生的各种各样的事情，用户可以通过它来检查错误发生的原因，或者寻找受到攻击时攻击者留下的痕迹。日志主要的功能是审计和监测。它还可以实时地监测系统状态，监测和追踪侵入者。

日志默认存放位置：
	/var/log/

查看日志配置情况：
	# 主配置文件见单独查看
	/etc/rsyslog.conf
	
	# 先查看 子配置目录 - 查询到都有哪些 子配置文件。
	/etc/rsyslog.d/
		# 再查看具体的 子配置文件。
		/etc/rsyslog.d/50-default.conf

1）/var/log/ 目录情况展示

2）日志配置信息查询

查看日志配置情况：
	# 主配置文件见单独查看
	/etc/rsyslog.conf
	
	# 先查看 子配置目录 - 查询到都有哪些 子配置文件。
	/etc/rsyslog.d/
		# 再查看具体的 子配置文件。
		/etc/rsyslog.d/50-default.conf

此处以 Ubuntu 进行举例。

1. 主配置文件

more /etc/rsyslog.conf

2. 子配置文件

1、查看 子配置文件目录

ll /etc/rsyslog.d/

2、查看 具体子配置文件

不仅记录了 每种系统日志文件 存储的路径，还是在这里配置 日志是否开启（注释）。

more /etc/rsyslog.d/20-ufw.conf

more /etc/rsyslog.d/50-default.conf

more /etc/rsyslog.d/postfix.conf

3）日志消息级别

4) 日志文件* （！！！）

1. 比较重要的日志

历史命令记录：history
仅清理当前用户：history -c

# 先执行这条，彻底删除掉这个文件，再用下面的清空命令，因为第二条命令的情况其实本质上还是可以复原的。
rm -rf .bash_history

# 清空 历史记录。
history -c

	除了 .bash_history 之外，还有 .zsh_history 等等... 具体需要看是用的是么 bash 终端来进行删除。

1. 二进制文件特性：
   /var/log/btmp、/var/log/lastlog、/var/run/utmp 均为 二进制文件，无法用 cat/vi 直接查看，必须通过对应专用工具（如 lastb、lastlog、w）解析，否则会显示乱码；
2. 发行版差异：
   Debian/Ubuntu 系列中，类似 /var/log/secure 的登录授权日志路径为 /var/log/auth.log，查询方式一致（如 grep "sshd" /var/log/auth.log）；
3. 日志持久化：
   /var/run/utmp 通常位于内存临时目录（/var/run 多为 tmpfs），系统重启后数据会清空；其他日志文件（如 /var/log/secure、/var/log/wtmp）存储在磁盘，会被 logrotate 工具按配置轮转（切割、压缩、清理旧日志）。

2. 其他系统自带 - 必存在日志

3. 特殊服务 - 服务日志

除了上述 Log 文件以外， /var/log 还基于系统的具体应用包含以下一些子目录：

5. 查看日志

概念

tty：终端设备的统称

tty一词源于 Teletypes，或者 teletypewriters，原来指的是电传打字机，是通过串行线用打印机键盘通过阅读和发送信息的东西，后来这东西被键盘与显示器取代，所以现在叫终端比较合适。终端是一种字符型设备，它有多种类型，通常使用 tty 来简称各种类型的终端设备。

• tty 1～6 是文本型控制台，tty7 是 X Window 图形显示管理器。在本地机器上可以通过Ctrl+Alt+F1（F1-F7键）切换到对应的登录控制台。

pty（虚拟终端)

但是假如我们远程 telnet 到主机或使用 xterm 时不也需要一个终端交互么？是的，这就是虚拟终端pty(pseudo-tty)。

• pts/ptmx（pts/ptmx 结合使用，进而实现 pty）：
• pts(pseudo-terminal slave) 是 pty 的实现方法，和 ptmx (pseudo-terminal master) 配合使用实现pty。

命令

w

w 显示目前登入系统的用户信息。

who

who 命令显示关于当前在本地系统上的所有用户的信息。

users

显示当前在线的用户。

last

last 命令列出目前与过去登入系统（登陆成功）的用户相关日志记录信息。

lastb

lastb 命令列出所有 登陆失败 的日志记录信息。

lastlog

lastlog 报告所有用户的最近登录情况，或者指定用户的最近登录情况

6）日志分析技巧*（！！！）

A. 常用的shell命令

grep 常用用法

1）grep 显示前后几行信息

#显示 file 文件里匹配 root 字串那行 以及 上下5行
grep -C 5 root file

#显示 file 文件里匹配 root 字串那行 以及 前5行
grep -B 5 root file

#显示 file 文件里匹配 root 字串那行 以及 后5行
grep -A 5 root file

注意：
	必须大写。

grep -C 5 1080 /etc/proxychains.conf

	# 不可以，因为我们之前提到了 /var/log/lastlog 是一个 二进制文件。
	grep -A 5 root /var/log/lastlog

2）grep 查找含有某字符串的所有文件

# 但不会扫描隐藏文件 和 隐藏目录！
grep -rni "hello,world!" *


*: 表示 当前目录 所有文件，也可以是某个文件名
-r 是递归查找
-n 是显示行号
-R 查找所有文件包含子目录
-i 忽略大小写

	# 这个才是包含隐藏目录、隐藏文件的。
	grep -rni "hello,world!" .

# 全盘搜索（包括根目录下的所有内容，含隐藏项）
grep -rn "qiaoshen" /



	grep -rn "qiaoshen" /*   —— ×
	
	/* 表示匹配根目录（/）下的所有直接子文件和子目录（不包括隐藏文件 / 目录）
	
	结合 -r 选项，会递归搜索这些顶级目录下的所有文件和子目录
	
	但它不会搜索根目录（/）本身直接包含的文件（如果有的话），也不会包含根目录下的隐藏目录（如 /.ssh）

3）grep 查找多个字符串同时满足的情况

grep -i -E 'useradd.*authlogtemp|authlogtemp.*useradd' /var/log/auth.log
grep -i -E 'userdel.*authlogtemp|authlogtemp.*userdel' /var/log/auth.log
grep -i -E 'passwd.*authlogtemp|authlogtemp.*passwd' /var/log/auth.log


-E: 开启正则。
-i: 不区分大小写。
中间的规则：
	同时包含 passwd 和 authlogtemp 字符串的值，且不分先后关系。

# 查询 grep "sudo" /var/log/auth.log 的匹配日志记录，然后再排除 包含有 root 的记录。
grep "sudo" /var/log/auth.log | grep -v "root"

cat、head、tail 高阶用法

1）显示一个文件的某几行

# 从第1000行开始，显示2000行。即显示 1000~2999 行
cat input_file | tail -n +1000 | head -n 2000

find

1）查找文件

# 在/etc目录中查找文件init
find /etc -name init

awk

1）显示 /etc/passwd 的指定信息

cat /etc/passwd | awk -F ':' '{print $1}'

awk -F指定域分隔符为':'，将记录按指定的域分隔符划分域，填充域，$0则表示所有域, $1表示第一个域, $n表示第n个域。

# 显示用户名
cat /etc/passwd | awk -F ':' '{print $1}'

# 显示登陆密码
cat /etc/passwd | awk -F ':' '{print $2}'

# 显示 UID
cat /etc/passwd | awk -F ':' '{print $3}'

# 显示 GID
cat /etc/passwd | awk -F ':' '{print $4}'

# 显示用户的 home
cat /etc/passwd | awk -F ':' '{print $6}'

# 显示用户的 bash 类型
cat /etc/passwd | awk -F ':' '{print $7}'

sed

1）删除历史操作记录，只保留前153行

sed -i '1519,$d' .bash_history

# history 和 .bash_history 并不完全等价，这个是操作 .bash_history 文件的，history 不会被执行，history 需要执行 history -c 才可以。

2）sed 进阶操作 - 清楚日志

# 删除 爆破 相关日志。
sudo sed -i '/Failed password/d' /var/log/auth.log

# 写法1：先匹配 Accepted，再匹配 114.253.76.78（顺序按日志实际格式）
sudo sed -i -E '/Accepted.*114.253.76.78/d' /var/log/auth.log

# 写法2：用括号+.*确保两个关键词都存在（顺序无关，更灵活）
sudo sed -i -E '/(Accepted.*114.253.76.78)|(114.253.76.78.*Accepted)/d' /var/log/auth.log

-E: 开启正则。
-i: 直接修改原文件（默认 sed 只输出处理结果，不改原文件）。
中间的规则：
	同时包含 passwd 和 authlogtemp 字符串的值，且不分先后关系。

B. secure / auth.log日志

删除大法：
	

记录验证和授权方面的信息，只要涉及账号和密码的程序都会记录，比如SSH登录，su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中。

CentOS：
	/var/log/secure

Ubuntu；
	/var/log/auth.log

我们清除 secure / auth.log 日志，使用的是 sed 命令。
	默认情况下，你的 sed 命令操作本身不会被自动记录到系统常规日志（如 /var/log/auth.log、/var/log/syslog）中



2. 哪些情况可能间接记录 sed 操作？
	只有当 sed 命令与「需要日志记录的行为」绑定后，才可能间接留下痕迹，常见场景包括：

1）通过 sudo 执行 sed：如果你的 sed 命令带了 sudo（如 sudo sed ...），sudo 会将此次操作记录到 /var/log/auth.log（或 sudo 自定义日志文件，如 /var/log/sudo.log），格式类似：
	log Aug 29 10:00:00 QiaoShen sudo:  username : TTY=pts/0 ; PWD=/var/log ; USER=root ; COMMAND=/usr/bin/sed -i /Failed password/d /var/log/auth.log

	这里记录的是「sudo 执行了 sed 命令」，但不会记录 sed 具体修改了哪些内容。


2）修改了日志文件本身：如果你的 sed 命令是修改 /var/log/auth.log 这类系统日志文件（如你之前删除 Failed password 日志的操作），日志文件的「修改时间」会被更新（可通过 ls -l /var/log/auth.log 查看 mtime），但这属于文件属性变化，而非日志内容记录。


3）系统开启了审计（auditd）：如果系统安装并启用了 auditd 审计服务（Linux 审计框架），且配置了对 sed 或目标文件（如 /var/log/auth.log）的审计规则，auditd 会在 /var/log/audit/audit.log 中记录 sed 的执行细节，例如：
	log type=EXECVE msg=audit(1693284000.123:456): argv=["./sed", "-i", "/Failed password/d", "/var/log/auth.log"]

	但 auditd 是可选服务，默认情况下多数 Linux 发行版（如 Ubuntu、Debian）不会主动开启，需要手动配置。

0. 基础用法 - 小试牛刀

# 查看 /var/log/auth.log 文件当中所有 root 字段的本行和下一行
grep -n -A 1 root /var/log/auth.log


# 查看 /var/log/auth.log 的最后最新的 30 行
tail -n 30 /var/log/auth.log


# 查看 /var/log/auth.log 的最后最新的 （包含 root）的 50 行 - 全都包含 root 字段
tail -n 50 /var/log/auth.log | grep -n -A 1 root

1. 定位有哪些 IP 在爆破

注意：
	grep "PasswordAuthentication" /etc/ssh/sshd_config

	如果输出 PasswordAuthentication no，说明确实禁用了密码登录，因此不会产生 Failed password 日志。没开启密码验证就不会产生日志。

# 模拟爆破
hydra -l root -P rockyou.txt 120.55.169.128 ssh

统计爆破的 IP - 1

grep "Failed password" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -rn

统计爆破的 IP - 2

grep "Failed password" /var/log/auth.log | grep -E -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)" | uniq -c | sort -rn


grep -E：使用扩展正则表达式
grep -o：只输出文件中匹配到的部分

统计爆破的 IP - 3

grep "Failed password" /var/log/auth.log | egrep -o "(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5] |2[0-4][0-9]|[01]?[0-9][0-9]?)\.(25[0-5]|2[0-4][0-9]|[01]?[0-9][0-9]?)" | uniq -c | sort -rn


grep -E：使用扩展正则表达式
grep -o：只输出文件中匹配到的部分

！删除日志记录

# 删除 爆破 的所有 相关日志。
sudo sed -i '/Failed password/d' /var/log/auth.log

# 仅删除包含我们 IP 的。(-E 指定可正则，可以让我们使用 “|” ; “|” 中间不可有空格。)
sudo sed -i -E '/(Failed password.*123.121.89.187)|(123.121.89.187.*Failed password)/d' /var/log/auth.log

2、定位哪些IP在爆破主机的root帐号

grep "Failed password for root" /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -rn


awk：文本和数据进行处理的编程语言。
sort：对文本文件中所有行进行排序。
sort -nr：依照数值的大小排序；以相反的顺序来排序
uniq：显示或忽略重复的行。
uniq -c：在每行开头增加重复次数

！删除日志记录

# 删除 爆破 的所有 相关日志。
sudo sed -i '/Failed password for root/d' /var/log/auth.log

# 仅删除包含我们 IP 的。(-E 指定可正则，可以让我们使用 “|” ; “|” 中间不可有空格。)
sudo sed -i -E '/(Failed password for root.*123.121.89.187)|(123.121.89.187.*Failed password for root)/d' /var/log/auth.log

3、定位哪些IP在使用不存在的用户爆破，爆破的用户名是

grep "Failed password for invalid user" /var/log/auth.log | awk '{print $0}'

grep "Failed password for invalid user" /var/log/auth.log | awk '{print $11,$13}' | uniq -c | sort -rn

！删除日志记录

# 删除 爆破 的所有 相关日志。
sudo sed -i '/Failed password for invalid user/d' /var/log/auth.log

# 仅删除包含我们 IP 的。(-E 指定可正则，可以让我们使用 “|” ; “|” 中间不可有空格。)
sudo sed -i -E '/(Failed password for invalid user.*123.121.89.187)|(123.121.89.187.*Failed password for invalid user)/d' /var/log/auth.log

4、获取爆破用户名字典

grep "Failed password" /var/log/auth.log | perl -e 'while($_=<>){ /for(.*?) from/; print "$1\n";}' | uniq -c | sort -rn

！删除日志记录

# 删除 爆破 的所有 相关日志。
sudo sed -i '/Failed password for invalid user/d' /var/log/auth.log

# 仅删除包含我们 IP 的。(-E 指定可正则，可以让我们使用 “|” ; “|” 中间不可有空格。)
sudo sed -i -E '/(Failed password for invalid user.*123.121.89.187)|(123.121.89.187.*Failed password for invalid user)/d' /var/log/auth.log

5、登录成功的IP有哪些

grep "Accepted " /var/log/auth.log | awk '{print $11}' | sort | uniq -c | sort -nr | more

！删除日志记录

# 删除 登陆成功 的所有 相关日志。
sudo sed -i '/Accepted /d' /var/log/auth.log

# 仅删除包含我们 IP 的。(-E 指定可正则，可以让我们使用 “|” ; “|” 中间不可有空格。)
sudo sed -i -E '/(Accepted.*123.121.89.187)|(123.121.89.187.*Accepted)/d' /var/log/auth.log

6、登录成功的日期、用户名、IP

grep "Accepted " /var/log/auth.log | awk '{print $1,$2,$3,$9,$11}'

！删除日志记录

# 删除 登陆成功 的所有 相关日志。
sudo sed -i '/Accepted /d' /var/log/auth.log

# 仅删除包含我们 IP 的。(-E 指定可正则，可以让我们使用 “|” ; “|” 中间不可有空格。)
sudo sed -i -E '/(Accepted.*123.121.89.187)|(123.121.89.187.*Accepted)/d' /var/log/auth.log

7、用户 增删改查 日志

# 添加用户
useradd authlogtemp

# 修改密码
passwd authlogtemp

# 删除用户
userdel authlogtemp

grep "useradd " /var/log/auth.log
	grep -E "useradd.*authlogtemp|authlogtemp.*useradd" /var/log/auth.log

grep passwd /var/log/auth.log
	grep -E "passwd.*authlogtemp|authlogtemp.*passwd" /var/log/auth.log

grep userdel /var/log/auth.log
	grep -E "userdel.*authlogtemp|authlogtemp.*userdel" /var/log/auth.log

！删除日志记录

# 删除 useradd、userdel、passwd 的所有 相关日志。
sudo sed -i '/useradd /d' /var/log/auth.log
sudo sed -i '/userdel /d' /var/log/auth.log
sudo sed -i '/passwd /d' /var/log/auth.log


# 仅删除包含我们指定 用户 的。(-E 指定可正则，可以让我们使用 “|” ; “|” 中间不可有空格。)
sudo sed -i -E '/(useradd.*authlogtemp)|(authlogtemp.*useradd)/d' /var/log/auth.log
sudo sed -i -E '/(userdel.*authlogtemp)|(authlogtemp.*userdel)/d' /var/log/auth.log
sudo sed -i -E '/(passwd.*authlogtemp)|(authlogtemp.*passwd)/d' /var/log/auth.log

8、su切换用户

# 切换用户
su authlogtemp

grep "su:session" /var/log/auth.log
	grep -E "su:session.*authlogtemp|authlogtemp.*su:session" /var/log/auth.log

！删除日志记录

# 删除 su 的所有 相关日志。
sudo sed -i '/su:session /d' /var/log/auth.log


# 仅删除包含我们指定 用户 的。(-E 指定可正则，可以让我们使用 “|” ; “|” 中间不可有空格。)
sudo sed -i -E '/(su:session.*authlogtemp)|(authlogtemp.*su:session)/d' /var/log/auth.log

9、sudo授权执行

# 查看 sudo 权限的命令。
sudo -l

grep "sudo" /var/log/auth.log
	grep -i -E "sudo.*authlogtemp|authlogtemp.*sudo" /var/log/auth.log

！删除日志记录

# 删除 su 的所有 相关日志。
sudo sed -i '/sudo/d' /var/log/auth.log


# 仅删除包含我们指定 用户 的。(-E 指定可正则，可以让我们使用 “|” ; “|” 中间不可有空格。)
sudo sed -i -E '/(su:sudo.*authlogtemp)|(authlogtemp.*sudo)/d' /var/log/auth.log

10、删除他们

# 把 command 替换为我们具体的值即可。
sudo sed -i -E '/command/d' /var/log/auth.log


	# 删除 authlogtemp 用户 相关的 useradd 命令日志。
	sudo sed -i -E '/(useradd.*authlogtemp)|(authlogtemp.*useradd)/d' /var/log/auth.log

	# 删除 IP 为 123.121.89.187 登陆失败 的 爆破SSH 的相关日志。
	sudo sed -i -E '/(Failed password.*123.121.89.187)|(123.121.89.187.*Failed password)/d' /var/log/auth.log

C. 高阶查询日志技巧 * （！！！）

1. 登录日志

登录日志清理：
	last 等日志是二进制文件，无法直接修改。所以清除的最简单方式是清空日志文件本身。

# 删除 最近的登录信息（只有成功信息）
echo null > /var/log/wtmp

# 删除 登录失败的用户信息
echo null > /var/log/btmp

# 删除 当前正登录的用户信息
echo null > /var/run/utmp


# 这个可以不用
echo null > /var/log/lastlog

ssh远程登录会产生登录日志

• 命令的输出包括：登录名，上次登录时间，IP地址，端口等。
• 登录日志清理：last等日志是二进制文件，无法直接修改。所以清除的最简单方式是清空日志文件本身

2. 定时任务

/var/log/cron：记录了系统定时任务相关的日志。
	- 相关路径可以在：
		查看 具体子配置文件 - more /etc/rsyslog.d/50-default.conf 当中看到

此处压根都没开。

1）基本操作

1、查看任务：
	crontab –l 
	cat /etc/crontab 
	more /etc/crontab

2、查询用户的任务：
	crontab -u root –l

3、删除用户的任务：
	crontab –u root –r

4、编辑用户的任务：
	crontab –u root –e

2）定时任务目录文件

3）计划任务的⽇志

# Linux 系统文件 /etc/rsyslog.conf 当中进行设定 日志存储路径。
/var/log/cron*

3. 隐藏历史记录

# 开启无痕模式，禁用命令历史记录功能。
set +o history

# 恢复
set -o history

4. 操作历史记录

历史命令记录：history
仅清理当前用户：history -c

# 先执行这条，彻底删除掉这个文件，再用下面的清空命令，因为第二条命令的情况其实本质上还是可以复原的。
rm -rf .bash_history

# 清空 历史记录。
history -c

	除了 .bash_history 之外，还有 .zsh_history 等等... 具体需要看是用的是么 bash 终端来进行删除。

5. SSH隐身登录

隐身登录系统，不会被last、who、w等指令检测到。

ssh -T user@host /bin/bash -i

ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash -if

SSH 密钥 删除

rm -rf .ssh/具体密钥文件 
	甚至说 具体文件上进行清除我们的公钥文件，然后再重新生成公钥文件，确保我们的 公钥 万无一失彻底删除，没有痕迹。

2. WEB 日志

/var/log/httpd/access.log
/var/log/nginx/access.log
......

细微清理

# 删除所有包含shell.php这个字符串的行
sed -i -e '/shell.php/d' /var/log/httpd/access.log


# 删除包含123.123.123.123这个字符串(我们自己的IP)的行
sed -i -e '/123\.123\.123\.123/d' /var/log/httpd/access.log

暴力清理

rm -rf /var/log/httpd/access.log
rm -rf /var/log/nginx/access.log

1）Apache

Apache安装路径：
	%Apache_home%
	
	日志文件默认路径：
		%Apache_home%\logs\access.log

在默认配置下，Apache HTTP Server（简称 Apache）主要生成两类核心日志文件：Access Log（访问日志） 和 Error Log（错误日志），分别记录客户端访问行为与服务器运行异常。不同操作系统（Windows/Linux）的日志存储路径、配置文件位置存在差异，以下从日志类型、路径、定位方法等维度系统总结。

一、Apache 核心日志类型及作用

Apache 的日志功能由配置文件（httpd.conf 或 apache2.conf）控制，默认启用两类关键日志：

二、Apache 日志存储路径

Apache 的日志路径由配置文件中的 CustomLog（Access Log）和 ErrorLog（Error Log）指令定义，不同系统、不同安装方式（源码安装 / 包管理安装 / 一键安装）的默认路径差异较大，以下为主流场景的默认路径：

Linux 下 Apache 配置文件通常集中在 /etc/httpd/（RHEL/CentOS）或 /etc/apache2/（Ubuntu/Debian），日志默认存储在系统级日志目录或 Apache 专属目录：

说明：源码安装时，$APACHE_HOME 为编译安装时指定的根目录（如 ./configure --prefix=/usr/local/apache2），日志路径可在编译时通过参数调整。

三、快速定位 Apache 关键信息（日志路径 / 安装目录）

若默认路径失效（如手动修改过配置、非标准安装），可通过以下方法快速定位 Apache 安装目录、配置文件及日志路径：

1. 定位 Apache 配置文件（httpd.conf/apache2.conf）

日志路径由配置文件定义，先找到配置文件即可查询实际日志路径：

• Linux 系统：

  • RHEL/CentOS：/etc/httpd/conf/httpd.conf

  • Ubuntu/Debian：/etc/apache2/apache2.conf（主配置文件），日志相关配置可能在 /etc/apache2/conf-available/other-vhosts-access-log.conf 中

  • 通用查询命令（通过进程找配置文件）：

    ps -ef | grep apache  # 找到 Apache 进程，查看命令行中的 -f 参数
    # 示例输出：/usr/sbin/apache2 -f /etc/apache2/apache2.conf
    

2. 从配置文件中提取日志路径

打开 Apache 主配置文件（httpd.conf 或 apache2.conf），搜索以下关键字，直接获取实际日志路径：

• Access Log：搜索 CustomLog 指令，示例：

  # Linux 示例（Ubuntu）
  CustomLog ${APACHE_LOG_DIR}/access.log combined
  

  其中 ${APACHE_LOG_DIR} 为 Linux 下的日志目录变量（通常对应 /var/log/apache2），logs/ 为相对路径（基于 Apache 安装目录）。

• Error Log：搜索 ErrorLog 指令，示例：

  # Linux 示例（RHEL/CentOS）
  ErrorLog "/var/log/httpd/error_log"
  

3. 定位 Apache 安装目录

• Linux 系统：

  • 包管理安装：which apache2（Ubuntu）或 which httpd（RHEL/CentOS），返回的执行文件路径（如 /usr/sbin/apache2）的上级目录（/usr/sbin/）对应安装相关目录
  • 源码安装：通过 echo $APACHE_HOME 查看环境变量（若配置），或通过进程命令行中的路径反推（如 /usr/local/apache2/bin/httpd 对应安装目录 /usr/local/apache2）

四、webshell 痕迹清除需重点关注的 Apache 日志

若需清除 Apache 环境下的 webshell 痕迹，核心关注两类日志，需结合 webshell 行为（如访问路径、执行异常）针对性处理：

额外注意：Linux 下 Apache 日志可能开启 “日志轮转”（通过 logrotate 工具），需检查 /var/log/httpd/ 或 /var/log/apache2/ 目录下的历史日志文件（如 access.log.1、access.log.2.gz），避免遗漏痕迹

清理

细微清理

# 清理包含 "shell.php" 的行（替换为实际日志路径）
sed -i '/shell.php/d' /var/log/apache2/access.log

# 清理包含指定 IP（123.123.123.123）的行（IP 中的点需转义）
sed -i '/123\.123\.123\.123/d' /var/log/apache2/access.log

$logPath = "C:\Apache24\log\access.log"

# 注意 IP 中的点需要转义（用 \.），避免被当作正则通配符
(Get-Content $logPath) | Where-Object { $_ -notmatch "123\.123\.123\.123" } | Set-Content $logPath

暴力清理

# 直接删除日志文件（删除后需重启服务才能重新生成文件）
rm -f /var/log/apache2/access.log

# 清空文件内容（保留文件，无需重启服务即可继续写入）
> /var/log/apache2/access.log

# 或使用以下命令（效果相同）
cat /dev/null > /var/log/apache2/access.log

五、核心总结

2）Nginx

Apache安装路径：
	%Apache_home%
	
	日志文件默认路径：
		%Apache_home%\logs\access.log

Nginx安装路径假设：
	%Nginx_home%
	
	配置文件 nginx.conf中配置日志路径（配置文件那行命令）如：
		access_log logs/access.log main
	
	访问日志默认路径：
		%Nginx_home%\logs\access.log

一、Nginx 核心日志类型及默认路径

Nginx 的日志功能由配置文件（nginx.conf）控制，默认生成两类核心日志：访问日志（Access Log） 和 错误日志（Error Log）；部分场景下会自定义业务日志，但默认仅启用前两类。
不同操作系统的默认安装路径不同，因此日志路径也存在差异，具体如下：

1. Linux 系统（主流部署环境）

Linux 下 Nginx 默认安装路径多为 /etc/nginx/（配置文件）、/var/log/nginx/（日志文件），具体路径如下表：

二、关键补充：Nginx 日志配置与路径修改

默认日志路径可通过 Nginx 主配置文件（nginx.conf）修改，核心配置项如下，需区分 全局配置（所有虚拟主机生效）和 虚拟主机配置（仅特定域名生效）：

1. 核心配置项

2. 配置文件示例（Linux）

# 全局配置（所有虚拟主机生效）
http {
    include       /etc/nginx/mime.types;
    default_type  application/octet-stream;

    # 自定义日志格式（可选）
    log_format  combined  '$remote_addr - $remote_user [$time_local] "$request" '
                          '$status $body_bytes_sent "$http_referer" '
                          '"$http_user_agent" "$http_x_forwarded_for"';

    # 全局日志路径（若虚拟主机未单独配置，将继承此路径）
    access_log  /var/log/nginx/access.log  combined;
    error_log   /var/log/nginx/error.log   error;

    # 虚拟主机配置（单独指定日志路径，覆盖全局配置）
    server {
        listen       80;
        server_name  xxx.com;

        # 该域名的专属访问日志
        access_log  /var/log/nginx/access_xxx.com.log  combined;
        # 该域名的专属错误日志（可选，不配置则用全局 error_log）
        error_log   /var/log/nginx/error_xxx.com.log   warn;

        location / {
            root   /usr/share/nginx/html;
            index  index.html index.htm;
        }
    }
}

三、如何快速定位 Nginx 安装路径与日志路径？

若忘记 Nginx 安装目录或日志路径，可通过以下命令 / 方法快速定位（区分操作系统）：

四、webshell 痕迹清除需重点关注的 Nginx 日志

若需清除 Nginx 环境下的 webshell 痕迹，核心关注两类默认日志，需结合 webshell 的访问、执行行为针对性处理，同时注意自定义日志（如按域名拆分的访问日志）的遗漏风险：

额外注意：

1. 自定义日志处理：若 Nginx 配置了按域名 / 业务拆分的自定义日志（如 access_xxx.com.log），需逐一检查对应日志文件，避免遗漏特定域名下的 webshell 痕迹
2. 日志轮转工具：Linux 下 Nginx 日志默认通过 logrotate 管理（配置文件通常在 /etc/logrotate.d/nginx），需检查轮转后的压缩日志（如 access.log.1.gz），需先解压再清理；Windows 下若手动配置了 LogRotateWin、WinLogRotate 等工具，需同步清理切割后的历史日志
3. 反向代理场景：若 Nginx 作为反向代理，需同时检查后端服务（如 Tomcat 的 access log、PHP-FPM 的 error log），避免仅清理 Nginx 日志而残留后端痕迹

清理

细微清理

# 清理包含 "shell.php" 的行（替换为实际 Nginx 日志路径）
sed -i '/shell.php/d' /var/log/nginx/access.log

# 清理包含指定 IP（123.123.123.123）的行（IP 中的点需转义）
sed -i '/123\.123\.123\.123/d' /var/log/nginx/access.log

暴力清理

# 直接删除日志文件（删除后 Nginx 仍能继续写入，无需重启，会自动重建文件）
rm -f /var/log/nginx/access.log

# 清空文件内容（保留文件，Nginx 可直接继续写入，无需重启）
> /var/log/nginx/access.log

# 或等效命令
cat /dev/null > /var/log/nginx/access.log

五、核心总结

3）tomcat

conf/logging.properties   → 配置日志怎么记。
logs/catalina.xx.log   → Tomcat 整体的启动/停止日志。
logs/host-manager.xx.log   → Host Manager 应用日志。
logs/localhost.xx.log   → 本地虚拟主机运行的 Web 应用日志（异常多在这里）。
logs/manager.xx.log   → Manager 应用的管理操作日志。

1. tomcat 日志信息分为两类：

• 运行中的日志，它主要记录运行的一些信息，尤其是些异常错误日志信息 。
• 访问日志信息，它记录的访问的时间、IP 、访问的资料等相关信息。

2. 快速找到 tomcat 安装路径的手法

默认安装路径：
	如果用包管理器安装（rpm/deb）：
		/usr/share/tomcat/
		/usr/share/tomcat9/
		/var/lib/tomcat/
		/var/lib/tomcat9/
	（不同发行版可能带版本号）

如果手工下载压缩包：
	/usr/local/tomcat/
	/opt/tomcat/

• 查找进程路径

  ps -ef | grep tomcat

  你会看到类似：

  /usr/local/tomcat/bin/catalina.sh

  上层目录就是安装目录。

• 通过环境变量

  echo $CATALINA_HOME

  如果配置了环境变量，就能直接看到。

• 全局搜索（兜底）

  find / -name "catalina.sh" 2>/dev/null

  找到 catalina.sh，它所在目录的上一级就是 Tomcat 的根目录。

3. 记录系统启、关闭日志、管理日志和异常信息：

• conf/logging.properties → 配置日志怎么记。
• logs/catalina.xx.log → Tomcat 整体的启动/停止日志。
• logs/host-manager.xx.log → Host Manager 应用日志。
• logs/localhost.xx.log → 本地虚拟主机运行的 Web 应用日志（异常多在这里）。
• logs/manager.xx.log → Manager 应用的管理操作日志。

🔑 重点关注的日志

1. logs/localhost.xx.log

   • 这是 Web 应用异常日志，Tomcat 在处理请求时如果抛了异常（比如 JSP 报错、Servlet 错误、栈回溯），就会写进这里。

   • WebShell 一旦执行出错（比如命令执行失败、语法错误），就会在这里留下明显痕迹。

   • ✅ 所以这是你要重点清理的文件。

2. logs/manager.xx.log（如果用过 Manager 部署）

   • 如果你是通过 Manager 应用上传 war 包 / 部署 WebShell 的话，这里会有操作日志。

   • 只要用过 Manager，这个必须改。

⚪ 次要日志（通常不涉及 WebShell）

• logs/catalina.xx.log

  • 主要记录 Tomcat 启动、关闭，或者一些系统级信息。

  • WebShell 的请求一般不会直接出现在这里，除非伴随严重错误。

• logs/host-manager.xx.log

  • 只有你操作过 Host Manager（虚拟主机管理），才会有记录。大多数情况下和 WebShell 无关。

• WebShell相关 → 必清 👉 localhost.xx.log

• 如果走 Manager 部署过 → 也要清 👉 manager.xx.log

• Catalina、Host-manager → 正常留着，别动

详细介绍

Tomcat 在运行时会在 logs/ 目录下生成日志文件，常见的有：

• catalina.xx.log

  • Catalina 是 Tomcat 的核心组件。

  • 这个日志里主要记录 Tomcat 启动、运行、关闭过程中的信息。

  • 举例：启动报错、JVM 参数输出、Tomcat 停止时的信息。

• host-manager.xx.log

  • 记录 Tomcat Host Manager 应用 的相关日志。

  • Host Manager 是用来管理虚拟主机的 Web 应用（比如动态添加、删除虚拟主机）。

  • 如果你用过 http://localhost:8080/host-manager/html，相关操作日志就会在这里。

• localhost.xx.log

  • 记录在 本地主机（localhost）虚拟主机 上运行的 Web 应用抛出的异常或错误。

  • 比如：某个应用 JSP 语法错误、Servlet 抛异常，这些会写到这里。

• manager.xx.log

  • 记录 Tomcat Manager 应用 的日志。

  • Manager 是用来管理 Web 应用的工具（比如上传、卸载、启动、停止应用）。

  • 如果你用过 http://localhost:8080/manager/html，操作日志会出现在这里。

清理

# 1. 清空单个日志（保留文件，不影响 Tomcat 运行）
> /usr/local/tomcat/logs/catalina.out

# 2. 删除指定日志（按日期/通配符匹配）
# 删除 8 月的 catalina 历史日志
rm -f /usr/local/tomcat/logs/catalina.2024-08-*.log
# 删除所有访问日志
rm -f /usr/local/tomcat/logs/access_log.*.txt

# 3. 按时间删除（保留近 7 天，删除更早的日志）
find /usr/local/tomcat/logs -type f \
  -name "*.log" -o -name "*.txt" \
  -mtime +7 \
  -delete

4）WebLogic

	默认配置情况下，WebLogic会有三种⽇志，分别是access log, Server log和domain log。

WebLogic 9及以后版本：
	access log在 $MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\access.log
	
	server log在 $MW_HOME\user_projects\domains\<domain_name>\servers\<server_name>\logs\<server_name>.log
	
	domain log在 $MW_HOME\user_projects\domains\<domain_name>\servers\<adminserver_name>\logs\<domain_name>.log


WebLogic 8.x 版本：
access log在 $MW_HOME\user_projects\domains\<domain_name>\<server_name>\access.log

server log在 $MW_HOME\user_projects\domains\<domain_name>\<server_name>\<server_name>.log

domain log在 $MW_HOME\user_projects\domains\<domain_name>\<domain_name>.log

在默认配置下，WebLogic 服务器主要生成三类核心日志文件：Access Log（访问日志）、Server Log（服务器日志） 和 Domain Log（域日志）。不同版本的 WebLogic 日志存储路径存在差异，且在 Windows 和 Linux 系统中因路径分隔符和环境变量格式的不同，写法也有所区别。以下按版本分类整理，清晰呈现各日志的路径规则及跨系统差异。

一、基础概念与系统差异说明

1. 核心日志类型

• Access Log：记录客户端对 WebLogic 服务器的 HTTP 访问请求，包含请求时间、IP 地址、URL 等详细信息
• Server Log：记录单个服务器实例的运行日志，包含启动 / 停止、错误、警告等服务器级事件
• Domain Log：记录整个域（Domain）的汇总日志，包含所有服务器实例的关键事件

2. 跨系统路径差异核心

不同操作系统的路径表示方式存在基础差异，WebLogic 日志路径遵循以下规则：

说明：MW_HOME 为 WebLogic 中间件安装根目录的环境变量，所有日志路径均基于此目录展开

二、WebLogic 9 及以后版本（主流版本）

日志路径结构围绕 "域（domain）- 服务器（server）" 层级展开，包含 "servers" 目录和单独的 "logs" 子目录。

各日志类型的系统路径对比

变量说明

• <domain_name>：WebLogic 域的名称（用户创建域时自定义）
• <server_name>：具体服务器实例的名称（如受管服务器）
• <admin_server_name>：管理服务器的名称（域创建时默认或自定义）

三、WebLogic 8.x 版本（旧版本）

日志路径层级相对简化，未单独区分 "servers" 目录，直接以 "域 - 服务器" 为路径结构，且无单独的 "logs" 子目录。

各日志类型的系统路径对比

四、版本与系统差异总结

1. 版本间核心差异

2. 系统间使用注意事项

• 在实际操作中，需严格区分路径分隔符（\ 用于 Windows，/ 用于 Linux）
• 环境变量引用格式需与操作系统匹配（%MW_HOME% 用于 Windows，$MW_HOME 用于 Linux）
• 路径中的变量（如 <domain_name>）需替换为实际环境中的名称
• 混用分隔符或环境变量格式会导致路径无效，无法正常访问日志文件

五、快速定位 WebLogic 安装路径（MW_HOME）的方法

WebLogic 的安装路径即 MW_HOME（中间件根目录），可通过以下方法快速定位：

1. 基于环境变量查询

WebLogic 安装后通常会配置 MW_HOME 环境变量，直接查询即可：

• Linux：
  打开终端，执行：

  echo $MW_HOME
  

  若返回路径（如 /u01/oracle/middleware），即为安装路径。

2. 通过进程信息查询

若 WebLogic 服务器正在运行，可通过进程详情定位安装路径：

• Linux：
  执行以下命令查找 WebLogic 进程，并提取路径：

  ps -ef | grep weblogic.Server
  

  输出中会包含 -Dweblogic.home 或 -Ddomain.home 参数，例如：

  -Dweblogic.home=/u01/oracle/middleware/wlserver
  

  其中 /u01/oracle/middleware 即为 MW_HOME。

3. 通过域配置文件查询

WebLogic 的域（Domain）配置文件中会记录 MW_HOME 路径：

• 域的配置文件 config.xml 位置：
  • WebLogic 9+：$MW_HOME/user_projects/domains/<domain_name>/config/config.xml。
  • 打开该文件，搜索 MW_HOME 或 WL_HOME（通常指向 MW_HOME/wlserver），可反推 MW_HOME 路径。

4. 常见默认安装路径

• Linux：通常在 /opt/oracle/middleware/、/u01/oracle/middleware/ 或 /usr/local/oracle/middleware/。

/u01/app/oracle/middleware/
/opt/Oracle/Middleware/
/home/oracle/Middleware/
	<MIDDLEWARE_HOME>/wlserver_10.3/
	<MIDDLEWARE_HOME>/wlserver_12.1/
	<MIDDLEWARE_HOME>/wlserver_12.2/

六、webshell 痕迹清除需重点关注的日志文件及路径

webshell 的核心行为通常包括 HTTP 访问（如连接 webshell 路径）、服务器端异常操作（如文件写入、命令执行） 等，对应的关键日志如下：

1. Access Log（访问日志）

• 作用：记录所有客户端对 WebLogic 服务器的 HTTP/HTTPS 请求，包括请求时间、客户端 IP、访问的 URL 路径、请求方法（GET/POST）、状态码等。
  若 webshell 是通过 HTTP 访问（如 http://xxx/webshell.jsp），会在此日志中留下明确痕迹。

• 路径（区分版本和系统）：

  • WebLogic 9 及以后版本：
    $MW_HOME/user_projects/domains/<domain_name>/servers/<server_name>/logs/access.log

• WebLogic 8.x 版本：
  $MW_HOME/user_projects/domains/<domain_name>/<server_name>/access.log

2. Server Log（服务器日志）

• 作用：记录服务器实例的运行细节，包括启动 / 停止事件、错误（Error）、警告（Warning）、异常（Exception）、部署操作、文件系统修改（如 JSP/Servlet 编译）等。
  若 webshell 执行了异常操作（如调用危险 API、修改系统配置），可能触发服务器级别的错误日志；若 webshell 是通过文件上传写入的，也可能在日志中留下文件创建 / 修改的记录。
• 路径（区分版本和系统）：

  • WebLogic 9 及以后版本：

    • Linux：$MW_HOME/user_projects/domains/<domain_name>/servers/<server_name>/logs/<server_name>.log

  • WebLogic 8.x 版本：

    • Linux：$MW_HOME/user_projects/domains/<domain_name>/<server_name>/<server_name>.log

3. Domain Log（域日志）

• 作用：汇总整个域（Domain）内所有服务器实例的关键事件，包括管理操作、跨服务器的异常等。
  若 webshell 影响范围涉及整个域（如通过管理服务器部署），可能在此日志中留下痕迹。
• 路径（区分版本和系统）：

  • WebLogic 9 及以后版本：

    • Linux：$MW_HOME/user_projects/domains/<domain_name>/servers/<admin_server_name>/logs/<domain_name>.log

  • WebLogic 8.x 版本：

    • Linux：$MW_HOME/user_projects/domains/<domain_name>/<domain_name>.log

4. 额外注意：操作系统级日志

除 WebLogic 自身日志外，还需关注操作系统日志（如 Linux 的 /var/log/secure 记录 SSH 登录，/var/log/messages 记录系统级操作；Windows 的 “事件查看器” 中的 “系统日志”“安全日志”），避免遗漏 webshell 相关的系统命令执行、文件操作痕迹。

清理

# 1. 清空服务器日志（保留文件，不影响 WebLogic 运行）
> /u01/oracle/domains/base_domain/servers/AdminServer/logs/AdminServer.log

# 2. 删除历史日志文件（清理压缩的归档日志）
rm -f /u01/oracle/domains/base_domain/servers/AdminServer/logs/AdminServer.log*.gz

# 3. 按时间删除（保留近 10 天，清理更早的日志）
find /u01/oracle/domains/base_domain/servers \
  -type f \
  \( -name "*.log" -o -name "*.log*.gz" \) \
  -mtime +10 \
  -delete

6）Jboss

Jboss 的配置文件和日志文件 jboss-log4j.xml：
	如：
		server/XXX/conf/jboss-log4j.xml 
		server/XXX/log/server.log

一、JBoss 核心日志类型及默认路径

JBoss（WildFly）的日志体系相对复杂，默认包含服务器运行日志、访问日志和域日志（域模式下），不同运行模式（独立模式 / 域模式）和操作系统的路径存在差异：

说明：$JBOSS_HOME 为 JBoss 安装根目录（如 /opt/wildfly-26.0.0.Final），<server_name> 为域模式下的服务器实例名称。

二、JBoss 日志配置与路径定位

1. 日志配置文件位置

JBoss 日志通过 XML 配置文件管理，可在配置文件中修改日志路径、级别等：

• 独立模式：$JBOSS_HOME/standalone/configuration/standalone.xml
• 域模式：$JBOSS_HOME/domain/configuration/domain.xml

定位日志路径：打开配置文件，搜索 <subsystem xmlns="urn:jboss:domain:logging:x.x"> 节点，其中 <file relative-to="jboss.server.log.dir" path="server.log"/> 定义了日志文件路径（jboss.server.log.dir 为内置变量，指向日志目录）。

2. 快速定位 JBoss 安装目录（$JBOSS_HOME）

三、webshell 痕迹清除需重点关注的 JBoss 日志

JBoss 环境中 webshell 通常以 JSP/Servlet 形式存在，需重点清理以下日志中的痕迹：

额外注意：

1. 日志滚动机制：JBoss 默认启用日志滚动（按大小或时间切割），需检查 log 目录下的所有历史日志（如 server.log.*）
2. 审计日志：若启用了 JBoss 审计日志（如 audit.log），需同步清理其中的敏感操作记录
3. 操作系统日志：Linux 需检查 /var/log/secure（SSH 登录）、/var/log/messages（系统命令）；Windows 需检查 “事件查看器” 中的安全日志 |

清理

# 1. 清空服务器日志（保留文件，不影响服务运行）
> /opt/jboss/wildfly/standalone/log/server.log

# 2. 删除历史日志（按通配符批量清理）
# 删除所有 server.log 的切割文件（如 server.log.1、server.log.2 等）
rm -f /opt/jboss/wildfly/standalone/log/server.log.*

# 删除 202x 年份的访问日志
rm -f /opt/jboss/wildfly/standalone/log/access_log.202*.log

# 3. 按时间删除（保留近 7 天，清理更早的日志）
find /opt/jboss/wildfly/standalone/log \
  -type f \
  \( -name "server.log*" -o -name "access_log*" \) \
  -mtime +7 \
  -delete

四、核心总结

7）WebSphere

WebSphere 的默认路径：
	IBM\WebSphere\AppServer\profiles\AppSrv01\logs\server1\SystemOut.log

一、WebSphere 核心日志类型及默认路径

WebSphere 日志默认存储在配置文件存储库或服务器实例目录下，核心区分「独立服务器模式」和「集群模式」，跨系统差异主要体现在路径分隔符和环境变量格式。

关键变量说明：
- $WAS_HOME：WebSphere 安装根目录（如 /opt/IBM/WebSphere/AppServer）；
- <profile_name>：配置文件名称（默认如 AppSrv01，部署管理器为 Dmgr01）；
- <server_name>：服务器实例名称（默认如 server1）。

二、WebSphere 日志配置与安装路径定位

1. 日志配置文件位置

WebSphere 日志的路径、级别、滚动策略通过管理控制台或配置文件修改，核心配置文件如下：

• 独立服务器 / 集群节点：$WAS_HOME/profiles/<profile_name>/config/cells/<cell_name>/nodes/<node_name>/servers/<server_name>/server.xml
• 部署管理器（集群模式）：$WAS_HOME/profiles/<dmgr_profile>/config/cells/<cell_name>/dmgr/dmgr.xml

配置修改方式：通过 WebSphere 管理控制台（默认端口 9060，路径 http://<host>:9060/ibm/console）→「服务器」→「服务器类型」→「WebSphere 应用服务器」→ 选择目标服务器 →「故障诊断」→「日志和跟踪」，可可视化调整日志路径、级别及滚动规则。

2. 快速定位 WebSphere 安装路径（$WAS_HOME/% WAS_HOME%）

三、webshell 痕迹清除需重点关注的 WebSphere 日志

WebSphere 环境中 webshell 多为 JSP/Servlet 形式，可能通过应用部署、文件上传植入，需重点清理以下日志中的敏感痕迹：

额外注意：
1. 应用安装目录日志：WebSphere 应用默认安装在 $WAS_HOME/profiles/<profile_name>/installedApps/<cell_name>/（Linux），若 webshell 植入后触发应用日志（如应用自身的 log4j 日志），需同步清理该目录下的应用日志；
2. 操作系统日志：Linux 需检查 /var/log/secure（SSH 登录植入 webshell）、/var/log/messages（系统命令执行）；Windows 需检查「事件查看器」→「Windows 日志」→「安全」（登录事件）和「系统」（服务启动 / 停止）；
3. 部署管理器日志（集群模式）：若 webshell 通过集群同步扩散，需清理部署管理器的 SystemOut.log 和 activity.log，避免残留集群同步记录。

清理

# 1. 清空系统日志（保留文件，不影响服务运行）
> /opt/IBM/WebSphere/AppServer/profiles/AppSrv01/logs/server1/SystemOut.log

> /opt/IBM/WebSphere/AppServer/profiles/AppSrv01/logs/server1/SystemErr.log

# 2. 删除历史日志（按通配符批量清理）
# 删除带日期前缀的 SystemOut 历史日志
rm -f /opt/IBM/WebSphere/AppServer/profiles/AppSrv01/logs/server1/SystemOut_*.log

# 删除带日期前缀的 SystemErr 历史日志
rm -f /opt/IBM/WebSphere/AppServer/profiles/AppSrv01/logs/server1/SystemErr_*.log

# 3. 按时间删除（保留近 5 天，清理更早的日志）
find /opt/IBM/Web/WebSphere/AppServer/profiles/AppSrv01/logs \
  -type f \
  \( -name "SystemOut_*.log" -o -name "SystemErr_*.log" -o -name "http_access*.log" \) \
  -mtime +5 \
  -delete

四、核心总结