Linux日志文件总结

近期做笔试题目，考察Linux日志配置文件相关内容，由于对此不了解，故看鸟哥的私房菜中的认识与分析日志文件一章，总结如下相关信息。

日志文件可以记录一个时间的何时、何地、何人、何事四大信息，故系统出现故障时，可以查询日志文件。

系统的日志文件默认都集中放置到/var/log/目录内，其中又以message记录的信息最多。

日志文件记录的主要服务与程序为syslogd，klogd，log。

syslogd的配置文件在/etc/syslog.conf中，内容语法为：服务.等级记载设备或文件。

syslogd本身提供日志文件服务器的功能，通过修改/etc/sysconfig/syslog内容即可实现。

logrotate程序利用crontab来进行日志文件的轮替功能。

logwatch为centos 5默认提供的一个日志文件分析软件。

日志文件的重要性主要体现在以下三方面：

解决系统方面的错误

解决网络服务的问题

过往事件记录

日志文件的权限通常是设置为root能够读取而已。由于日志文件可以记载系统很多的详细信息，所以一个有经验的主机管理员会随时随地查阅自己的日志文件，以掌握系统的最新动态。

针对日志文件所需的功能，所需的服务与程序主要有：

syslogd：主要登录系统与网络等服务的信息

klogd：主要登录内核产生的各项信息

logrotate：主要进行日志文件的轮替功能

日志文件中的每条信息的主要数据如下：

时间发生的日期与时间

发生此事件的主机名

启动此事件的服务名称(如samba，xinetd等)或函数名称(libpam)

该信息的实际数据内容

syslog的配置文件是/etc/syslog.conf，此文件规定了什么服务的什么等级以及需要被记录在哪里(设备或文件)这三个东西。

日志文件的安全性：为了误删除日志信息，可以通过设置一个隐藏的属性来设置日志文件为只可以增加数据但不能被删除的状态。由于root可以在系统上面进行任何事情，所以将root这个账户的密码设置的安全一些。特别注意：当不小心改动过日志文件，如使用vi打开它，修改后，离开时执行:wq参数，则该文件将来不会再继续进行日志操作。可以通过执行 chattr +a 日志文件目录 来设置日志文件属性，防止日志文件被修改或删除。

日志文件的轮替(logrotate)：syslog利用的是daemon的方式来启动的，当有需求的时候立刻就会被执行，但是logrotate确实在规定的时间到了之后才进行日志文件的轮替，故logrotate程序挂在cron下面进行。在/etc/cron.daily/logrotate记录每天要进行的日志文件轮替行为。logrotate配置文件是/etc/logrotate.conf和/etc/logrotate.d，其中/etc/logrotate.conf为主要的参数文件，/etc/logrotate.d是一个目录，该目录中的所有文件都会被主动读入/etc/logrotate.conf当中来进行。

日志分析，可以使用logwatch软件。

路径 说明

/var/log/message 包括整体系统信息，包括系统启动期间的日志。此外mail，cron，daemon，kern，auth等内容也记录在此日志中。

/var/log/dmesg 包含一些内核缓冲信息，在系统启动时，会在屏幕上显示许多与硬件相关的信息。

/var/log/auth.log 包含系统授权信息，如用户登录和使用的权限机制等

/var/log/boot.log 包含系统启动的日志

/varlog/daemon.log 包含各种系统后台守护进程的日志信息

/var/log/dpkg.log 包含安全或dpkg命令清除软件包的日志

/var/log/kern.log 包含内核产生的日志，有助于在定制内核时解决问题

/var/log/lastlog 记录所有用户最近信息，它不是一个ASCII文件，需要使用lastlog命令查看内容

/var/log/maillog /var/log/mail.log 包含着系统运行电子邮件服务器的日志信息

/var/log/user.log 记录所有等级用户信息的日志

/var/log/Xorg.x.log 记录来自X的日志信息

/var/log/alternatives.log 更新替代信息都记录在这个文件中

/var/log/btmp 记录所有失败登录信息。使用last命令可以查看btmp文件

/var/log/cups 涉及所有打印信息日志

/var/log/anaconda.log 安装Linux时，所有安全信息都存储在这个文件中

/var/log/cron 每当cron进行开始一个工作时，就会将现相关信息记录在这个文件夹中

/var/log/secure 包含验证和授权方面的信息。sshd会将所有信息记录在这里

/var/log/wtmp /var/log/utmp 包含登录信息。wtmp可以找出谁正在登录进入系统，谁使用命令显示这个文件或信息等

/var/log/faillog 包含用户登录失败信息。注意，错误登录命令也会被记录在此文件中

/var/log/httpd /var/log/apache2 包含服务器access_log和error_log信息

/var/log/lighttpd 包含light https的access_log和error_log

/var/log/mail 子目录包含邮件服务器的额外日志

/var/log/prelink 包含.so文件被prelink修改的信息

/var/log/audit 包含被Linux audit daemon存储的信息

/var/log/samba 包含samba存储的信息

/var/log/sa 包含每日由sysstat软件包收集的sar文件

/var/log/sssd 用户守护进程安全服务

参看文献：Linux鸟哥私房菜