linux log日志查看(完整版）.docVIP

誉天Cisco/Linux认证社区/BBS

武汉誉天.独家授权Cisco/RHCE培训

誉天Cisco/Linux认证社区/BBS

武汉誉天.独家授权Cisco/RHCE培训

linuxlog

日志查看

【syslogd+logrotate】

其实，可以说成是监控系统的记录，系统一举一动基本会记录下来。这样由于信息非常全面很重要，通常只有root可以进行视察！通过登录文件（日志文件）可以根据屏幕上面的错误讯息与再配合登录文件的错误信息，几乎就可以解决大部分的Linux问题！所以日志文件异常重要，作为一个合格的linux系统工程师，日志文件是必要熟练掌握的部分。

常见的几个登录文件有：

/var/log/secure：记录登入系统存取数据的文件，例如pop3,ssh,telnet,ftp等都会被记录；

/var/log/wtmp：记录登入者的讯息数据，由于本文件已经被编码过，所以必须使用last指令来取出文件的内容；

/var/log/messages：尤为重要，几乎发生的错误讯息（或是重要信息）都会被记录在此；

/var/log/boot.log：记录开机或者是一些服务启动的时候，所显示的启动或关闭讯息；

/var/log/maillog或/var/log/mail/*：纪录邮件存取或往来(sendmail与pop3)的使用者记录；

/var/log/cron：记录crontab这个例行性服务的内容的。

/var/log/httpd,/var/log/news,/var/log/mysqld.log,/var/log/samba,

/var/log/procmail.log：分别是几个不同的网络服务的记录文件！

登录文件的纪录程序之一：syslogd

通常经过syslog而记录下来的数据主要有：事件发生的日期与时间；发生此事件的主机名称；启动此事件的服务名称(如samba,xinetd等)或函式名称(如libpam..)；

该讯息数据内容

syslogd的daemon配置文件：/etc/syslog.conf

内容语法是这样的：服务名称[.=!]讯息等级讯息记录的文件名或装置或主机

#例如底下：

/var/log/maillog_info

服务名称：该服务产生的讯息会被纪录的意思。syslog认识的服务主要有底下这些：

auth,authpriv：主要与认证有关的机制，例如telnet,login,ssh等需要认证的服

务都是使用此一机制；

cron：例行性命令cron/at等产生讯息记录的地方；daemon：与各个daemon有关的讯息；kern：核心(kernel)产生讯息的地方；lpr：打印相关的讯息！mail：只要与邮件收发有关的讯息纪录都属于这个；news：与新闻群组服务器有关的东西；syslog：syslogd这支程序本身产生的信息啊！user,uucp,local0~local7：与Unixlike机器本身有关的一些讯息。

讯息等级系统将讯息分为七个主要的等级，依序是由不重要排列到重要讯息等级：info：仅是一些基本的讯息说明而已；

notice：比info还需要被注意到的一些信息内容；warning或warn：警示讯息，可能有问题，但是还不至于影响到某个daemon运作。

err或error：一些重大的错误讯息，这就要去找原因了。

crit：比error还要严重的错误信息，crit是临界点(critical)的缩写，已经很严重了！alert：警告警告，已经很有问题的等级，比crit还要严重！emerg或panic：疼痛等级，意指系统已经几乎要当机的状态！很严重的错误信息了。

除了这些有等级的讯息外，还有两个特殊的等级，那就是debug(错误侦测等级)与none(不需登录等级)两个，当要作一些错误侦测，或者是忽略掉某些服务的信息时，就用这俩！

在讯息等级之前还有[.=!]的连结符号！他代表的意思是：

.：代表比后面还要高的等级(含该等级)都被记录下来的意思，例如：代表只要是mail的信息，而且该信息等级高于info(含info)时，就会被记录下来。

.=：代表所需要的等级就是后面接的等级而已！

.!：代表不等于。

日志文件记录的文件名或装置或主机常见