一、初识日志
日志文件用于记录Linux系统中各种运行消息,不同的日志文件记载了不同类型的信息,例如Linux内核消息、用户登录记录、程序错误等。日志文件对于诊断和解决系统中的问题很有帮助,因为在Linux系统中运行的程序通常会把系统消息和错误消息写入相应的日志文件,这样系统一旦出现问题就会有据可查。此外,当主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹。
(一)主要日志文件介绍:
文件 | 说明 |
/var/log/messages | 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、I/O错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。 |
/var/log/cron | 记录crond计划任务产生的事件信息。 |
/var/log/dmesg | 记录Linux系统在引导过程中的各种事件信息 |
/var/log/maillog | 记录进入或发出系统的电子邮件活动 |
/var/log/lastlog | 最近几次成功登录事件和最后一次不成功登录事件 |
/var/log/rpmpkgs | 记录系统中安装的各rpm包列表信息 |
/var/log/secure | 记录所有与安全相关以及用户登录认证过程中的事件信息 |
/var/log/wtmp | 记录每个用户登录、注销及系统启动和停机事件 |
/var/run/utmp | 记录当前登录的每个用户的详细信息 |
(二)查看日志文件内容
大多数的日志文件都可以使用tail、more、less、cat等文本处理工具查看日志内容,其中在大多数情况下都是使用tail命令,这样可以方便地查看到最近的日志信息。而且如果在tail命令中加上“-f”选项,还可以实时查看到日志文件中的最新信息。
通常情况下,内核及大多数系统消息都被记录到公共日志文件“/var/log/messages”中,而其它一些程序消息被记录到不同的文件中。日志消息还能够记录到特定的存储设备中,或者直接向用户发送。
例:实时监测/var/log/messages中的日志信息。
[root@localhost ~]# tailf /var/log/messages
大部分日志文件中所使用的日志记录格式都是相同的。下面以公共日志文件“/var/log/messages”为例来说明日志记录的基本格式。
日志文件中的每一行表示一条消息,每个消息均由四个字段的固定格式组成。
时间标签:消息发出的日期和时间。
主机名:生成消息的计算机的名称。
子系统名称:发出消息的应用程序的名称。