认识与分析日志文件

来源：互联网发布：多益网络客户端编辑：程序博客网时间：2024/05/20 10:55

1 什么是日志文件

1.1 日志文件的重要性

解决系统方面的错误
解决网路服务的问题
过往事件记录簿

1.2 Linux常见的日志文件名

日志文件可以帮助我们了解很多系统重要的事件，包括登录者的部分信息，因此日志文件的权限通常是设置为仅有root能够读取而已。那么常见的日志文件有那些？

/var/log/cron

可查看crontab调度是否被执行？进行过程是否发生错误？编写是否正确？

/var/log/dmesg

记录系统在开机的时候内核检测过程所产生的各项信息。

/var/log/lastlog

记录系统上面所有的账号最近一次登录系统时的相关信息。

/var/log/maillog 或 /var/log/mail/*

记录邮件的往来信息

/var/log/messages

这个文件相当重要，几乎系统发生的错误信息（或者是重要的信息）都会记录在这个文件中；如果系统发生莫名的错误时，这个文件是一定要查阅的日志文件之一。

/var/log/secure

基本上，只要牵涉到需要输入账号密码的软件，那么当登录时（不管登录正确或错误）都会被记录在此文件中。

/var/log/wtmp /var/log/faillog

这两个文件可以记录正确登录系统者的账户信息（wtmp）与错误登录时所使用的账户信息（faillog）。

/var/log/httpd/* /var/log/news/* /var/log/samba/*

不同程度的网络服务会使用它们自己的日志文件案来记载它们自己产生的各项信息。

1.3 日志文件所需相关服务(daemon)与进程

CentOS提供几种服务来统一管理日志文件：

syslogd：主要登录系统与网络等服务的信息；
klogd：主要登录内核产生的各项信息；
logrotate：主要进行日志文件的轮替功能。

2 syslogd:记录日志文件的服务

2.1 日志文件内容的一般格式

当你觉得系统视乎不太正常时；
某个daemon老是无法正常启动时；
某个用户老是无法登录时；
某个demon执行过程老是不顺畅时；
反正觉得系统不太正常就可以查询日志文件。

2.2 syslog的配置文件：/etc/syslog.conf

这个配置文件规定了什么服务的说明等级信息以及需要被记录在哪里（设备或文件）这三个东西。

2.3 日志文件的安全性设置

通过chattr +a /var/log/messages可使文件只增加不删除修改，chattr -a 也可取消。注意，当你不小心手动改动日志文件后，例如，你不小心用vi打开文件，离开却执行:wq的参数，那么该文件将来不会再继续进行日志操作。需要重新启动syslog（/etc/init.d/syslog restart）即可。