Linux系統中如何查看日誌信息

   日誌文件是用於記錄Linux系統中各類運行消息的文件，不一樣的日誌文件記載了不一樣類型的信息，對於診斷和解決系統中的問題頗有幫助

分析日誌文件

  日誌數據主要包括三種類型：內核及系統日誌、用戶日誌、程序日誌

  #對於大多數的文本格式的日誌文件，使用tail、more、less、cat 等命令就可查看日誌內容

  #對於一些二進制格式的日誌文件（如用戶日誌文件），使用who、w、users、last、lastb等

  內核及系統日誌的配置文件爲 /etc/rsyslog.conf，經過查看文件內容，能夠了解到系統默認的日誌文件的存儲路徑

常見的日誌文件

/var/log/message  系統啓動後的信息和錯誤日誌，是Red Hat Linux中最經常使用的日誌之一 

/var/log/dmesg Linux  系統在引導過程當中的各類事件信息

/var/log/secure    記錄與用戶認證相關的安全事件信息 

/var/log/lastlog    記錄每一個用戶最近的登錄狀況

/var/log/wtmp    記錄每一個用戶登錄、註銷、系統啓動和停機事件

/var/log/btmp    記錄失敗的、錯誤的登錄嘗試及驗證事件

/var/log/maillog    與郵件相關的日誌信息 

/var/log/cron    與定時任務相關的日誌信息 

/var/log/spooler    與UUCP和news設備相關的日誌信息 

/var/log/boot.log    守護進程啓動和中止相關的日誌消息

/var/log/rpmpkgs    記錄系統中安裝的rpm包列表信息 

查看日誌文件的命令

cat命令：顯示整個文件

     -n 或 –number 由 1 開始對全部輸出的行數編號
     -b 或 –number-nonblank 和 -n 類似，只不過對於空白行不編號
     -s 或 –squeeze-blank 當遇到有連續兩行以上的空白行，就代換爲一行的空白行
     -v 或 –show-nonprinting

more命令： 以百分比的形式查看日誌

 

less命令：跟more功能差很少，只不過less支持先後翻閱文件

     

 

head命令：從文本文件的頭部開始查看，用於查看一個文本文件的開頭部分

     -n     指定須要顯示多少行      

tail命令：從文本文件的尾部開始查看，用於顯示文本文件的末尾幾行

     -n      指定須要顯示多少行    

     -f       自動顯示新增的文件內容

      -n 50 -f  顯示文件的後50行內容並在文件內容增長後，自動顯示新增的文件內容
   最後一條命令很是有用，尤爲在監控日誌文件時，能夠在屏幕上一直顯示新增的日誌信息

users命令：顯示當前登錄的用戶名稱，每一個顯示用戶名對應一個登錄會話

who命令：顯示當前登錄到系統的每一個用戶信息

w命令：顯示當前用戶每一個用戶及其所運行的進程信息

last命令：查詢成功登錄到系統的用戶信息，最新狀況顯示在最前面

lastb命令：查詢登錄失敗的用戶記錄，如用戶名、密碼錯誤都有記錄，屬於安全事件，也能夠從安全日誌 /var/log/secure  中查詢相關信息