日志檔案是用于記錄Linux系統中各種運作消息的檔案,不同的日志檔案記載了不同類型的資訊,對于診斷和解決系統中的問題很有幫助
分析日志檔案
日志資料主要包括三種類型:核心及系統日志、使用者日志、程式日志
#對于大多數的文本格式的日志檔案,使用tail、more、less、cat 等指令就可檢視日志内容
#對于一些二進制格式的日志檔案(如使用者日志檔案),使用who、w、users、last、lastb等
核心及系統日志的配置檔案為 /etc/rsyslog.conf,通過檢視檔案内容,可以了解到系統預設的日志檔案的存儲路徑
常見的日志檔案
/var/log/message 系統啟動後的資訊和錯誤日志,是Red Hat Linux中最常用的日志之一
/var/log/dmesg Linux 系統在引導過程中的各種事件資訊
/var/log/secure 記錄與使用者認證相關的安全事件資訊
/var/log/lastlog 記錄每個使用者最近的登陸情況
/var/log/wtmp 記錄每個使用者登陸、登出、系統啟動和停機事件
/var/log/btmp 記錄失敗的、錯誤的登陸嘗試及驗證事件
/var/log/maillog 與郵件相關的日志資訊
/var/log/cron 與定時任務相關的日志資訊
/var/log/spooler 與UUCP和news裝置相關的日志資訊
/var/log/boot.log 守護程序啟動和停止相關的日志消息
/var/log/rpmpkgs 記錄系統中安裝的rpm包清單資訊
檢視日志檔案的指令
cat指令:顯示整個檔案
-n 或 –number 由 1 開始對所有輸出的行數編号
-b 或 –number-nonblank 和 -n 相似,隻不過對于空白行不編号
-s 或 –squeeze-blank 當遇到有連續兩行以上的空白行,就代換為一行的空白行
-v 或 –show-nonprinting
more指令: 以百分比的形式檢視日志
less指令:跟more功能差不多,隻不過less支援前後翻閱檔案
head指令:從文本檔案的頭部開始檢視,用于檢視一個文本檔案的開頭部分
-n 指定需要顯示多少行
tail指令:從文本檔案的尾部開始檢視,用于顯示文本檔案的末尾幾行
-n 指定需要顯示多少行
-f 自動顯示新增的檔案内容
-n 50 -f 顯示檔案的後50行内容并在檔案内容增加後,自動顯示新增的檔案内容
最後一條指令非常有用,尤其在監控日志檔案時,可以在螢幕上一直顯示新增的日志資訊
users指令:顯示目前登陸的使用者名稱,每個顯示使用者名對應一個登陸會話
who指令:顯示目前登陸到系統的每個使用者資訊
w指令:顯示目前使用者每個使用者及其所運作的程序資訊
last指令:查詢成功登陸到系統的使用者資訊,最新情況顯示在最前面
lastb指令:查詢登陸失敗的使用者記錄,如使用者名、密碼錯誤都有記錄,屬于安全事件,也可以從安全日志 /var/log/secure 中查詢相關資訊
本文轉自 楊書凡 51CTO部落格,原文連結:http://blog.51cto.com/yangshufan/1951220,如需轉載請自行聯系原作者