常见系统log文件
| /var/auth.log | 记录身份认证的信息 |
| /var/log/dmesg | 记录系统侦测核心时得到的各项信息 |
| /var/log/lastlog | 记录系统所有账户最近一次登录系统的信息 lastlog(8)使用此文件 |
| /var/log/messages | 记录系统所有重要信息 |
| /var/log/wtmp | 记录登录成功的账户信息 |
| /var/log/faillog | 记录登录失败的账户信息 faillog(8)使用此文件 |
| /var/log/httpd/* /var/log/samba/* |
各种网络服务 |
log文件内容的一般格式
1 事件发生的日期和时间
2 发生此时间的主机名
3 启动此事件的服务名称(如samba,xinetd)或函数名称(如libpam)
4 实际数据内容
与log相关的服务与程序
| syslogd rsyslogd |
管理系统和网络等服务的log 配置文件/etc/syslog.conf或/etc/rsyslog.conf |
| klogd | 管理核心产生的log |
| logrotate | 实现log文件的轮替功能 配置文件/etc/logrotate.conf |
| logwatch | 日志分析 |
syslogd/rsyslogd配置文件的规则
syslogd/rsyslogd配置文件/etc/syslog.conf或/etc/rsyslog.conf
根据配置文件,将log信息分类记录在不同的log文件里
从配置文件中也能认识到/var/log/路径下的各个log文件的意义
配置文件规则内容语法一般为:服务.等级 log文件路径
1 服务名称
2 事件信息等级
3 log文件路径
详细信息可参考man 3 syslog
服务名称
| auth,authpriv | 与身份认证相关的机制,如login,su等 |
| cron | 例行性工作排程cron/at相关的信息 |
| daemon | 与各个daemon相关的信息 |
| kern | 与核心相关的信息 |
| lpr | 与打印相关的信息 |
| 与邮件收发相关的信息 | |
| news | 与新闻组服务器相关的信息 |
| user,uucp,local0 | 与Unix like机器本身相关的信息 |
事件信息等级和符号代表意义
| 1 | info | 基本信息说明 |
| 2 | notice | 比info重要的信息 |
| 3 | warning,warn | 警告信息,不至于影响某个服务的正常工作 |
| 4 | err,error | 重大错误信息, |
| 5 | crit | 比error还严重的错误信息,很严重 |
| 6 | alert | 比crit还严重的错误信息 |
| 7 | emerg,panic | 系统无法运行,通常硬件有问题导致核心无法工作 |
| debug | 错误侦测 | |
| none | 忽略某项服务的所有信息 | |
| . | 代表比该等级(含该等级)高的信息都需要记录 如mail.info代表高于info(含info等级)的信息都要记录下来 |
|
| .= | 代表只该等级的信息需要记录 | |
| .! | 代表除了该等级外的信息都需要记录 |
log文件路径
| 文件绝对路径 | /var/log/mail.err |
| 先缓存到内存buffer中,然后记录在文件 | -/var/log/mail.info |
| 打印机或其他设备 | /dev/lp0 |
| 使用者名称,显示给用户 | user |
| 远程主机 | @192.168.1.100 |
| *,给当前在线的所有人 | * |
相关文件
| /etc/syslog.conf 或 /etc/rsyslog.conf |
syslog的配置文件 或 rsyslog的配置文件 |
| /etc/logrotate.conf | logrotate的配置文件 |
| /etc/logrotate.d/* | 各种log的logrotate配置文件 |