什么是日志文件

日志文件概述

日志文件是一个记录linux系统中各种服务运行消息的文件，例如：系统日志文件，用户登录文件等。

日志，对于运维人员来说是非常重要的，也是我们时常需要关注的对象，对于一些服务的运行，通过查看服务的日志文件就可以得知其具体的运行情况，进行相应的措施。最直接的体现就是，通过查看服务的警告日志，得知某部分出现错误，若不及时修改，会到时服务宕掉，及时将其修改了，就避免了服务崩溃，能够继续正常运行。

日志文件分类

（1）内核及系统日志

这种日志数据由rsyslog统一管理，根据其主配文件/etc/rsyslog。conf中的设置决定将内核及各种系统程序信息记录到什么位置。

（2）用户日志

用于记录系统用户登陆及退出系统的相关信息，包括用户名，登陆的终端，登陆的时间，来源主机，正在使用的进程操作等。

（3）程序日志

有些应用程序会选择由自己独立管理一份日志文件，而不是交给rsyslog服务管理，用于记录本程序运行过程中的各种事件信息。

常见日志文件

日志通常存放于(/var/log/)下

[root@linus ~]# ls /var/log/
amanda              pluto
anaconda            ppp
audit               qemu-ga
boot.log            rhsm
btmp                sa
chrony              samba
cron                secure
cups                speech-dispatcher
dmesg               spooler
dmesg.old           sssd
firewalld           tallylog
gdm                 tuned
glusterfs           vmware-vgauthsvc.log.0
grubby_prune_debug  vmware-vmsvc.log
lastlog             wpa_supplicant.log
libvirt             wtmp
maillog             Xorg.0.log
messages            Xorg.0.log.old
ntpstats            Xorg.9.log

其中常用文件有：
secure：安全相关,主要是用户认证,如登录 、创建和删除账号 、sudo等
messages：记录linux内核消息及各种应用程序的公共日志消息，包括启动、I/O错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获取相关的时间记录信息。
boot.log：系统启动日志。能看到启动流程。
cron：计划任务日志。会记录crontab计划任务的创建、执行信息。
dmesg：硬件设备信息(device)。纯文本,也可以用dmesg命令查看。
yum.log：yum软件的日志。记录yum安装、卸载软件的记录。
lastlog：用来记录用户最后登录事件的日志。用lastlog查看(二进制日志文件)
btmp：登录失败的信息(bad)。用lastb查(二进制日志文件)
wtmp：该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，用last查(二进制日志文件)。