linux日志系統分析

　　議程

　　理解syslog系統

　　熟悉syslogd的配置文件及其語法學會查看系統日志理解日志滾動的必要性及實現方法

　　syslog

　　什麼是syslog

　　.日志的主要用途是系統審計、檢測追蹤和分析統計。

　　.為了保證linux系統正常運行、准確解決遇到的各種各樣的系統問題，認真地讀取日志文件是管理員的一項非常重要的任務。

　　.linux內核由很多子系統組成，包括網絡、文件訪問、內存管理等。子系統需要給用戶傳送一些消息，這些消息包括消息的來源及其重要性等。所有的子系統都要把消息送到一個可以維護的公用消息區，於是，就有了syslog。

　　.syslog是一個綜合的日志記錄系統。它的主要功能是：方便日志管理和分類存放日志。syslog使程序設計者從繁重的、機械的編寫日志文件代碼的工作中解脫出來，每個程序都有自己的日志記錄策略。管理員對保存什麼信息或是信息存放在哪裡沒有控制權。

　　syslogd的配置文件

　　.syslogd的配置文件在/etc/syslog.conf規定了系統中要監視的事件和相應的日志的保存位置。

　　.cat /etc/syslog.cong

　　syslogd級別字段

　　.級別字段用於指明與每一種功能相關的級別和優先級：

　　alert----需要立即引起注意的情況。

　　crit----危險情況的報告。

　　err----除了emerg、alert、crit的其他錯誤。

　　warning----警告信息。

　　notice----需要引起注意的情況。

　　info----值得報告的信息。

　　debug------由運行於debug模式的程序所引起的消息。

　　none-----用於禁止任何消息。

　　*------所有級別。除了none。

　　emerg----出現緊急情況使得該系統不可用。

　　syslogd動作字段

　　.動作字段用於描述對應功能的動作。

　　file-----指定一個絕對路徑的日志文件記錄日志信息。

　　username-----發送消息到指定用戶，*代表所有用戶。

　　device---將消息發送到指定的設備中，如/dev/consols。

　　@hostname將消息發送到可解析的遠程主機hostname，且該主機必須正在運行syslogd並可以識別syslog的配置文件。

　　查看日志文件

　　.常見的日志文件。

　　.日志文件通常存放在/var/log目錄下。在該目錄下除了包括syslogd記錄的日志之外，同時還包含所用應用程序的日志。

　　.為了查看日志文件的內容必須要有root權限。日志文件中的信息很重要，只能讓超級用戶訪問這次文件的權限。

　　log

　　cups/------存儲cups打印系統的日志記錄。

　　httpd/---記錄apache的訪問日志和錯誤日志目錄。

　　mail/----存儲mail日志的目錄。

　　news/----存儲INN新聞系統的日志目錄。

　　boot.log----記錄系統啟動日志。

　　dmesg-----記錄系統啟動時的消息日志。

　　maillog---記錄郵件系統的日志。

　　messages----由syslogd記錄的info或更高級別的消息日志。

　　secure-------由syslogd記錄的認證日志。

　　WTMP----一個用戶每次登陸進入和退出時間的永久記錄。

　　查看文本日志文件

　　.絕大多數日志文件都是純文本文件，每一行就是一個消息。只要是在linux下能夠處理純文本的工具都能用來查看日志文件。可以使用cat、tac、more、less、tail和grep進行查看。