日志简介
日志文件是记录系统获得信息的几个文件,例如何时、何地、何人做了什么操作。
换句话说:记录系统在什么时候由哪个进程做了什么样的行为,发生了何种事件等。
日志文件在许多方面发挥着重要的作用,如解决系统方面的错误,解决网络服务的问题,过往事件记录等等。
Linux中的日志产生方式主要分为两种:
由软件开发商自行定义写入的日志文件与相关格式,例如WWW软件apache;
由linux本身的日志文件管理服务来统一管理,只要将相关的信息传输给这个服务,它就会分类处理并放置在相关的日志文件中。在Centos的日志服务为syslog(Centos6.0以后改为rsyslog)。
日志输出一般格式
一般来说,系统产生的信息经过rsyslog记录下来的数据中,每条信息均记录下面的几个重要数据:
- 事件发生的日期与时间;(何时)
- 发生此事的主机名;(何人)
- 启动此事件的服务名称(如 samba, xinetd等)或函数名称(如 libpam);(何进程)
- 该信息的实际数据内容;(何事何结果)
举个例子(/var/message/secure):
Nov 10 09:31:56 admin su: pam_unix(su:session): session opened for user root by vip(uid=500)
该数据表示:11月10日早上9点31分56秒,由admin这台主机的su传来了消息,这条消息是通过pan_unix这个模块提出的,信息内容为vip(uid=500)这个账号登陆root账号
如果想了解更多,可以查看鸟哥的私房菜!