记录文件的一般格式

登录文件内容的一般格式

一般来说，系统产生的信息经过 syslog 而记录下来的数据中，每条信息均会记录底下的几个重要数据：

• 事件发生的日期与时间；
• 发生此事件的主机名称；
• 启动此事件的服务名称 (如 samba, xinetd 等) 或函式名称 (如 libpam ..)；
• 该信息的实际数据内容。

当然，这些资讯的『详细度』是可以修改的，而且，这些资讯可以作为系统除错之用呢！我们拿登录时一定会记载帐号资讯的 /var/log/secure 为例好了：

[root@www ~]# cat /var/log/secure 1 Mar 14 15:38:00 www atd[18701]: pam_unix(atd:session): session opened for user root by (uid=0) 2 Mar 14 15:38:00 www atd[18701]: pam_unix(atd:session): session closed for user root 3 Mar 16 16:01:51 www su: pam_unix(su-l:auth): authentication failure; logn ame=vbird uid=500 euid=0 tty=pts/1 ruser=vbird rhost= user=root 4 Mar 16 16:01:55 www su: pam_unix(su-l:session): session opened for user root by vbird(uid=500) 5 Mar 16 16:02:22 www su: pam_unix(su-l:session): session closed for user root |--日期/时间---|-H-|-----服务与相关函数-------|--信息说明------>

我们拿第一笔数据来说明好了，该数据是说：『在三月14日 (Mar 14) 的下午 15:38 分，由 www 这部主机的 atd [PID 为 18701] 传来的消息，这个消息是透过 pam_unix 这个模块所提出的。信息内容为 root (uid=0) 这个帐号已经开启 atd 的活动了。』有够清楚吧！那请您自行翻译一下后面的 4 条信息内容是什么喔！

提供一个鸟哥常做的检查方式。当我老是无法成功的启动某个服务时，我会在最后一次启动该服务后，立即检查登录文件，先 (1)找到现在时间所登录的资讯『第一栏位』； (2)找到我想要查询的那个服务『第三栏位』，(3)最后再仔细的查阅第四栏位的资讯，来藉以找到错误点。