1分析日志文件
日志文件是用于记录Linux系统中各种运行消息的文件,不同的日志文件记载了不同类型的信息,如Linux内核消息、用户登录时间、程序错误等;
日志文件对于诊断和解决系统中的问题有很大帮助,因为Linux系统中运行的程序通常会把系统消息和错误消息写入相应的日志文件。
在Linux系统中,日志数据主要包括三种类型:
内核及系统日志:这种日志数据由系统服务rsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。
用户日志:用与记录Linux系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。
程序日志:有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件消息。
Linux系统本身和大部分服务器程序的日志文件默认都放在目录/var/log/下,一部分程序公用一个日志文件,一部分程序使用单个日志文件,而有些大型服务器程序由于日志文件不止一个,所以会在/var/log/目录中建立相应的子目录存放日志文件。
常用的日志文件:
/var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息、包括启动、1/0错误、网络错误、程序故障等。
/var/log/cron:记录crond计划任务产生的事件信息。
/var/log/dmesg:记录Linux系统在引导过程中的各种事件信息。
/var/log/maillog:记录进入或发出系统的电子邮件活动。
/var/log/lastlog:记录每个用户最近的登录事件。
/var/log/secure:记录用户认证相关的安全事件信息。
/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。
/var/log/btmp:记录失败的、错误的登录尝试及验证事件。
分析日志文件的目的在于通过浏览日志查找关键信息、对系统服务进行调试,已经判断发生故障的原因等。大多数文本格式的日志文件,使用tail、more、less、cat等文本处理工具就可以查看日志内容。
内核及系统日志功能主要由默认安装的rsyslog-5.8.10-8.el6.x86_64软件包提供。rsyslog服务所使用的配置文件为/etc/rsyslog.conf。
[root
localhost~]#grep-v"^$"/etc/rsyslog.conf#rsyslogv5configurationfile#Formoreinformationsee/usr/share/doc/rsyslog-*/rsyslog_conf.html#Ifyouexperienceproblems,see
