Linux日誌記錄了系統每天所發生的事件,用戶可以通過日誌文件檢查錯誤產生的原因,或者在受到***和******時追蹤***者的蹤跡。日誌的兩個比較重要的作用是:審覈和監測
Linux系統的日誌分爲兩類: 1.進程所屬日誌 由用戶進程或其他系統服務進程自行生成的日誌,比如服務器上的access_log和error_log日誌文件 2.syslog文件 系統syslog記錄的日誌,任何希望記錄日誌的系統進程和用戶進程都可以給調用syslog來記錄日誌 日誌系統可以分爲三個子系統: 1.連接時間日誌--,由多個程序執行,把日誌寫入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使管理員能夠了解誰在何時登陸過系統。 2.進程統計--由系統內核執行,在每個 進程終止時,爲每個進程往進程統計文件(pacct或acct)中添加一天記錄,進程統計的目的是爲系統中的基本服務提供命令使用統計的。 3.錯誤日誌-- 由syslog(8)執行,各種守護進程、用戶進程和內核通過syslog(3)向文件/var/log/messages報告值得注意的事件 日誌文件的查看 grep命令查看特定的消息 每一行表示一個消息,並且有四個域的固定格式組成 n 時間標籤,表示事件發生的時間和日期 n 主機名(hostname),表示生成消息的主機名,如果只是一臺計算機可能無所謂,但要是在網絡中使用syslog,有可能會把不同主機的消息,發送到同一臺服務器來處理。 n 生成消息的子系統,可以是內核或者是進程, n 消息,這一部分就是生成消息的內容了 例: Jan 05 21:55:51 localhost kernel: [drm] Initialized i830 1.3.2 20021108 on minor 0 Jan 05 21:55:51 localhost kernel: mtrr: base(0xf0000000) is not aligned on a siz e(0x12c000) boundary Jan 05 21:56:35 localhost 1月 28 21:56:35 gdm(pam_unix)[4079]: session opened f or user root by (uid=0) Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 正在啓動(版本 2. 2.0),pid 4162 用戶"root"