Linux 日志基礎

首先，我們将描述有關 linux 日志是什麼，到哪兒去找它們，以及它們是如何建立的基礎知識。如果你已經知道這些，請随意跳至下一節。

<a target="_blank"></a>

許多有價值的日志檔案都是由 linux 自動地為你建立的。你可以在 <code>/var/log</code> 目錄中找到它們。下面是在一個典型的 ubuntu 系統中這個目錄的樣子：

一些最為重要的 linux 系統日志包括：

<code>/var/log/syslog</code> 或 <code>/var/log/messages</code> 存儲所有的全局系統活動資料，包括開機資訊。基于 debian 的系統如 ubuntu 在 <code>/var/log/syslog</code> 中存儲它們，而基于 redhat 的系統如 rhel 或 centos 則在 <code>/var/log/messages</code> 中存儲它們。

<code>/var/log/auth.log</code> 或 <code>/var/log/secure</code> 存儲來自可插拔認證子產品(pam)的日志，包括成功的登入，失敗的登入嘗試和認證方式。ubuntu 和 debian 在 <code>/var/log/auth.log</code> 中存儲認證資訊，而 redhat 和 centos 則在 <code>/var/log/secure</code> 中存儲該資訊。

<code>/var/log/kern</code> 存儲核心的錯誤和警告資料，這對于排除與定制核心相關的故障尤為實用。

<code>/var/log/cron</code> 存儲有關 cron 作業的資訊。使用這個資料來確定你的 cron 作業正成功地運作着。

應用程式也會在這個目錄中寫入日志檔案。例如像 apache，nginx，mysql 等常見的伺服器程式可以在這個目錄中寫入日志檔案。其中一些日志檔案由應用程式自己建立，其他的則通過 syslog (具體見下文)來建立。

linux 系統日志檔案是如何建立的呢？答案是通過 syslog 守護程式，它在 syslog 套接字 <code>/dev/log</code> 上監聽日志資訊，然後将它們寫入适當的日志檔案中。

單詞“syslog” 代表幾個意思，并經常被用來簡稱如下的幾個名稱之一：

syslog 資訊 — syslog 格式的日志資訊或事件，它包括一個帶有幾個标準字段的消息頭。在這種使用方式中，人們常說“發送 syslog”。

syslog 資訊或事件包括一個帶有幾個标準字段的消息頭，可以使分析和路由更友善。它們包括時間戳、應用程式的名稱、在系統中資訊來源的分類或位置、以及事件的優先級。

下面展示的是一個包含 syslog 消息頭的日志資訊，它來自于控制着到該系統的遠端登入的 sshd 守護程序，這個資訊描述的是一次失敗的登入嘗試：

<code>&lt;34&gt;1 2003-10-11t22:14:15.003z server1.com sshd - - pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2</code>

每條 syslog 資訊包含一個帶有字段的資訊頭，這些字段是結構化的資料，使得分析和路由事件更加容易。下面是我們使用的用來産生上面的 syslog 例子的格式，你可以将每個值比對到一個特定的字段的名稱上。

<code>&lt;%pri%&gt;%protocol-version% %timestamp:::date-rfc3339% %hostname% %app-name% %procid% %msgid% %msg%n</code>

下面，你将看到一些在查找或排錯時最常使用的 syslog 字段：

2003-10-11 年，月，日。

t 為時間戳的必需元素，它将日期和時間分隔開。

22:14:15.003 是 24 小時制的時間，包括進入下一秒的毫秒數(003)。

z 是一個可選元素，指的是 utc 時間，除了 z，這個例子還可以包括一個偏移量，例如 -08:00，這意味着時間從 utc 偏移 8 小時，即 pst 時間。

pri 有兩種輸出方式。第一種是以一個單獨的數字表示，可以這樣計算：先用裝置字段的值乘以 8，再加上緊急性字段的值：(裝置字段)(8) + (緊急性字段)。第二種是 pri 文本，将以“裝置字段.緊急性字段” 的字元串格式輸出。後一種格式更友善閱讀和搜尋，但占據更多的存儲空間。

本文來自雲栖社群合作夥伴“linux中國”，原文釋出日期：2015-08-13