【读书笔记】鸟哥的Linux私房菜---第19章：认识和分析日志文件

1：日志文件都做了点儿什么？

    日志文件，记录了系统在什么时候由那些进程做了什么样的行为，发生了何种事件。

2：常见的日志文件

    a：/var/log/cron    ---    与crontab相关的例行性人物的执行情况和内容查询

    b：/var/log/dmesg    ---    记录系统在开机的时候，内核检测过程所产生的各项信息

    c：/var/log/lastlog    ---    记录系统上面，所有账号最近一次登录系统的相关信息

    d：/var/log/maillog 或 /var/log/mail/*

        记录了邮件的往来信息

    e：/var/log/messages    ---    记录了几乎所有的系统错误信息

    f：/var/log/secure    ---    牵涉到输入账号密码的软件，在登录时都会记录到这个文件

    g：/var/log/wtmp   /var/log/faillog

        分别记录了正确登录系统的账户信息和错误登录时的账户信息

    h：/var/log/httpd/*   /var/log/news/*  /var/log/samba/*

        不同的网络服务，会使用它们自己的日志文件来记录它们自己产生的各项信息

3：与文件日志相关的几个进程和服务

    a：syslogd    ---    主要记录系统和网络等服务的信息

    b：klogd    ---    主要记录内核所产生的各项信息

    c：logrotate     ---    进行日志文件的轮替

4：syslogd：记录日志文件的服务

    a：查看syslogd服务是否开启和是否开机自启

        ps aux | grep syslog

        chkconfig --list syslog

    b：日志的一般形式

        【事件发生的日期和时间】+++【发生此事件的主机名】+++【启动此事件的服务名称或函数名称】+++【该信息的实际数据内容】

        举例：

                Mar 14 15:38:00 www atd[18701]:   pam_unix ( atd:session )  :  session opened for user root by ( uid=0 )

                说明：在3月14日的15:38分，由www这台主机的atd【pid为18701】传来的消息，这个消息是通过pam_unix这个模块所提出的，信息的内容为：ro                              ot这个账号开启了atd的活动

    c：syslog的配置文件：/etc/syslog.conf

        这个配置文件的作用是：规定了什么服务的什么等级的信息会被记录在哪里。

        语法结构为：【服务名称】【.=!】信息等级    信息记录的文件名或设备和主机

5：logrotate：日志文件的轮替

    a：一点说明

        syslog是利用daemon的方式来启动的，当由需要的时候立即被执行

        logrotate是在规定的时间到了之后才进行日志的轮替。logrotate的一个cron例行性任务

    b：lorotate的配置文件

        /etc/logrotate.conf   /etc/logrotate.d/

        logrotate 的配置文件，记录了：在什么状态下才将日志文件进行轮替

    c：配置文件的一般格式

        【文件名】+【参数】

        文件名：要被处理的日志文件，的绝对路径文件名，多个时可以用空格隔开