用日志了解你的 Linux 系统

在你的 Linux 计算机上有不少不一样的日志。历史上，它们通常以纯文本的格式存储到 /var/log 目录中。如今依然有不少日志这样作，你能够很方便的使用 less 来查看它们。

在新装的 openSUSE Leap 42.3 以及大多数现代操做系统上，重要的日志由 systemd 初始化系统存储。 systemd 这套系统负责启动守护进程，并在系统启动时让计算机作好被使用的准备。由 systemd 记录的日志以二进制格式存储，这使得它们消耗的空间更小，更容易被浏览，也更容易被导出成其余各类格式，不过坏处就是你必须使用特定的工具才能查看。好在这个工具已经预安装在你的系统上了：它的名字叫 journalctl ，并且默认状况下，它会将每一个守护进程的全部日志都记录到一个地方。

只须要运行 journalctl 命令就能查看你的 systemd 日志了。它会用 less 分页器显示各类日志。为了让你有个直观的感觉, 下面是 journalctl 中摘录的一条日志记录：

这条独立的日志记录以此包含了记录的日期和时间、计算机名、记录日志的进程名、记录日志的进程 PID，以及日志内容自己。

若系统中某个程序运行出问题了，则能够查看日志文件并搜索（使用 / 加上要搜索的关键字）程序名称。有可能致使该程序出问题的错误会记录到系统日志中。 有时，错误信息会足够详细到让你可以修复该问题。其余时候，你须要在 Web 上搜索解决方案。 Google 就很适合来搜索奇怪的 Linux 问题。不过搜索时请注意你只输入了日志的实际内容，行首的那些信息（日期、主机名、进程 ID) 对搜索来讲是无心义的，会干扰搜索结果。

解决方法通常在搜索结果的前几个链接中就会有了。固然，你不能只是无脑得运行从互联网上找到的那些命令：请必定先搞清楚你要作的事情是什么，它的效果会是什么。听说，搜索系统日志中的特定条目要比直接描述该故障通用关键字要有用的多。由于程序出错有不少缘由，并且一样的故障表现也可能由多种问题引起的。

好比，系统没法发声的缘由有不少，多是播放器没有插好，也多是声音系统出故障了，还多是缺乏合适的驱动程序。若是你只是泛泛的描述故障表现，你会找到不少无关的解决方法，而你也会浪费大量的时间。而专门搜索日志文件中的实际内容，你也许会查询出其它人也有相同日志内容的结果。

你能够对比一下图 1 和图 2：

图 1 搜索系统的故障表现只会显示泛泛的，不精确的结果，这种搜索一般没什么用。

图 2 搜索特定的日志行会显示出精确的，有用的结果。这种搜索一般颇有用。

也有一些系统不用 journalctl 来记录日志。在桌面系统中最多见的这类日志包括用于记录 openSUSE 包管理器的行为的 /var/log/zypper.log ； 记录系统启动时消息的 /var/log/boot.log ，开机时这类消息每每滚动的特别快，根本看不过来；/var/log/ntp 用来记录 Network Time Protocol （NTP）守护进程同步时间时发生的错误。 另外一个存放硬件故障信息的地方是 “Kernel Ring Buffer”（内核环状缓冲区），你能够输入 demesg -H 命令来查看（这条命令也会调用 less 分页器来查看）。“Kernel Ring Buffer” 存储在内存中，所以会在重启电脑后丢失。不过它包含了 Linux 内核中的重要事件，好比新增了硬件、加载了模块，以及奇怪的网络错误。

via: https://www.suse.com/communities/blog/system-logs-understand-linux-system/

做者：[chabowski] 译者：lujun9972 校对：wxy

本文由 LCTT 原创编译，Linux中国 荣誉推出

更多Linux咨询请查看www.linuxprobe.com