Linux Centos7 日誌文件詳解

一.日誌文件

日誌文件對於診斷和解決系統中的問題頗有幫助，由於在 Linux 操做系統中運行的程序一般會把系統消息和錯誤消息寫入相應的日誌文件，這樣系統一旦出現問題就會「有據可查」。
此外，當主機遭受襲擊時，日誌文件還能夠幫助尋找襲擊者留下的痕跡。

1.日誌文件的功能和分類

2.日誌文件保存位置和文件介紹

Linux 操做系統自己和大部分服務器程序的日誌文件都默認放在目錄/var/log/下。一
部分程序共用一個日誌文件，一部分程序使用單個日誌文件，而有些大型服務器程序因爲日
志文件不止一個，因此會在/var/log/目錄中創建相應的子目錄來存放日誌文件，這樣既保
證了日誌文件目錄的結構清晰，又能夠快速定位日誌文件。有至關一部分日誌文件只有 root
用戶纔有權限讀取，這保證了相關日誌信息的安全性。
**

3.內核及系統日誌

這種日誌數據由系統服務 rsyslog 統一管理，根據其主配置文件
/etc/rsyslog.conf 中的設置決定將內核消息及各類系統程序消息記錄到什麼位置。系統中有至關一部分程序會把本身的日誌文件交由 rsyslog 管理，於是這些程序使用的日誌記錄也具備類似的格式。

4.日誌消息的級別（重點）

從配置文件/etc/rsyslog.conf 中能夠看到，受 rsyslogd 服務管理的日誌文件都是Linux 操做系統中主要的日誌文件，它們記錄了 Linux 操做系統中內核、用戶認證、電子郵件、計劃任務等基本的系統消息。在 Linux 內核中，根據日誌消息的重要程度不一樣，將其分爲不一樣的優先級別（數字等級越小，優先級越高，消息越重要）。

5.日誌記錄的通常格式

6.用戶日誌分析

這種日誌數據用於記錄 Linux 操做系統用戶登陸及退出系統的相關信息，包括用戶名、登陸的終端、登陸時間、來源主機、正在使用的進程操做等。

1.users 查看能登陸的用戶

2.who,w查看在線登陸的用戶

3.last,lastb查看登陸成功的用戶和登陸失敗的用戶

7.程序日誌分析

有些應用程序會選擇由本身獨立管理一份日誌文件（而不是交給
rsyslog 服務管理），用於記錄本程序運行過程當中的各類事件信息。因爲這些程序只負責管理本身的日誌文件，所以不一樣程序所使用的日誌記錄格式可能會存在較大的差別。

在 Linux 操做系統中，還有至關一部分應用程序沒有使用 rsyslog 服務來管理日誌，而
是由程序本身維護日誌記錄。例如，httpd 網站服務程序使用兩個日誌文件 access_log 和error_log 分別記錄客戶訪問事件和錯誤事件。