Linux Centos7 日志文件详解

一.日志文件

日志文件对于诊断和解决系统中的问题颇有帮助，由于在 Linux 操做系统中运行的程序一般会把系统消息和错误消息写入相应的日志文件，这样系统一旦出现问题就会“有据可查”。
此外，当主机遭受袭击时，日志文件还能够帮助寻找袭击者留下的痕迹。

1.日志文件的功能和分类

2.日志文件保存位置和文件介绍

Linux 操做系统自己和大部分服务器程序的日志文件都默认放在目录/var/log/下。一
部分程序共用一个日志文件，一部分程序使用单个日志文件，而有些大型服务器程序因为日
志文件不止一个，因此会在/var/log/目录中创建相应的子目录来存放日志文件，这样既保
证了日志文件目录的结构清晰，又能够快速定位日志文件。有至关一部分日志文件只有 root
用户才有权限读取，这保证了相关日志信息的安全性。
**

3.内核及系统日志

这种日志数据由系统服务 rsyslog 统一管理，根据其主配置文件
/etc/rsyslog.conf 中的设置决定将内核消息及各类系统程序消息记录到什么位置。系统中有至关一部分程序会把本身的日志文件交由 rsyslog 管理，于是这些程序使用的日志记录也具备类似的格式。

4.日志消息的级别（重点）

从配置文件/etc/rsyslog.conf 中能够看到，受 rsyslogd 服务管理的日志文件都是Linux 操做系统中主要的日志文件，它们记录了 Linux 操做系统中内核、用户认证、电子邮件、计划任务等基本的系统消息。在 Linux 内核中，根据日志消息的重要程度不一样，将其分为不一样的优先级别（数字等级越小，优先级越高，消息越重要）。

5.日志记录的通常格式

6.用户日志分析

这种日志数据用于记录 Linux 操做系统用户登陆及退出系统的相关信息，包括用户名、登陆的终端、登陆时间、来源主机、正在使用的进程操做等。

1.users 查看能登陆的用户

2.who,w查看在线登陆的用户

3.last,lastb查看登陆成功的用户和登陆失败的用户

7.程序日志分析

有些应用程序会选择由本身独立管理一份日志文件（而不是交给
rsyslog 服务管理），用于记录本程序运行过程当中的各类事件信息。因为这些程序只负责管理本身的日志文件，所以不一样程序所使用的日志记录格式可能会存在较大的差别。

在 Linux 操做系统中，还有至关一部分应用程序没有使用 rsyslog 服务来管理日志，而
是由程序本身维护日志记录。例如，httpd 网站服务程序使用两个日志文件 access_log 和error_log 分别记录客户访问事件和错误事件。