Linux日志文件

                                 linux 日志文件

配置文件格式

设备名.级别；设备名.级别 位置   （级别和位置中间要用tab隔开）

日志级别

emerge

alert

crit

err

warning

notice

info

debug

mail.err  mail级别等于或者高于err,就记录日志

mail.=err  mail级别等于err,才记录日志

* 表示所有的日志设备和日志级别

none 表示忽略全部！

deamon.* 表示把所有级别的日志发送到daemon设备

*.emerge 表示把emerg级别的日志发送到所有设备

kern.none 表示忽略所有的内核日志

常用的日志位置

文件名  ： 把日志信息保存到本地的文件中，文件必须要给出绝对路径

*  ： 把日志信息发送给所有当前有用户登录的终端上

用户列表： 把日志信息发送给某些用户，用户名之间用，隔开

/dev/console； 把日志信息发送到控制台

@主机名或IP  把日志信息发送到远程主机，由远程主机的syslogd进程接受

|<程序名>： 把日志信息通过管道发给另一个程序

日志的转储：

logrotate :转储，压缩，删除，备份

登陆日志：

/var/log/lastlog  lastlog命令查看

/var/log/wtmp   who命令查看，当前在线用户信息

/var/run/utmp  w命令查看

记账功能，记录用户使用过的命令  安装 psacct

日志存储位置：/var/accout/pacct

启动方法;

service psacct start

/etc/rc.d/init.d/psacct start

accton /var/account/pacct

停止方法：

accton  不带任何参数

查看命令 lastcomm  基于/var/account/pacct

/usr/bin/sa 可以把以前执行过的命令曾经占用多少CPU时间的信息统计出来，并且

提供了系统资源的消费信息，对于鉴别某些占用大量CPU时间的可疑命令十分有用

基于/var/account/pacct

/usr/bin/ac  基于/var/log/wtmp 统计用户在线时间,以小时为单位

ac

ac -d

ac -p

日志分析工具

logcheck 基于crond 定期分析日志