一、Linux系统日志与分类
内核及系统日志:
这种日志数据由系统服务syslog统一管理,根据其主配置文件"/etc/syslog.conf"中的设置决定将内核消息及各种系统程序消息记录到什么位置。
用户日志:
这种日志数据用于记录Linux系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。
程序日志:
有些应用程序运会选择自己来独立管理一份日志文件(而不是交给syslog服务管理),用于记录本程序运行过程中的各种事件信息。
二、Linux下日志文件解读
Linux系统本身和大部分服务器程序的日志文件默认情况下都放置在目录"/var/log"中。
/var/log/messages:公共日志文件,记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该文件获得相关的事件记录信息。
/var/log/cron:记录crond计划任务产生的事件消息。
/var/log/dmesg:包含内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许多与硬件有关的信息。此文件记录的信息时系统上次启动时的信息。而用dmesg命令可查看本次系统启动时与硬件有关的信息,以及内核缓冲信息。
/var/log/maillog:记录进入或发出系统的电子邮件活动。
/var/log/boot.log 记录系统启动时的软件日志信息。
/var/log/secure:记录用户远程登录、认证过程中的事件信息。
/var/log/wtmp:记录系统所有登录进入和退出纪录。可执行last命令查看
/var/log/btmp:记录错误登录进入系统的日志信息,可执行lastb命令查看。
/var/log/lastlog:记录最近成功登录的事件和最后一次不成功的登录事件。可执行lastlog命令查看。