linux日志系统分析

　　议程

　　理解syslog系统

　　熟悉syslogd的配置文件及其语法学会查看系统日志理解日志滚动的必要性及实现方法

　　syslog

　　什么是syslog

　　.日志的主要用途是系统审计、检测追踪和分析统计。

　　.为了保证linux系统正常运行、准确解决遇到的各种各样的系统问题，认真地读取日志文件是管理员的一项非常重要的任务。

　　.linux内核由很多子系统组成，包括网络、文件访问、内存管理等。子系统需要给用户传送一些消息，这些消息包括消息的来源及其重要性等。所有的子系统都要把消息送到一个可以维护的公用消息区，于是，就有了syslog。

　　.syslog是一个综合的日志记录系统。它的主要功能是：方便日志管理和分类存放日志。syslog使程序设计者从繁重的、机械的编写日志文件代码的工作中解脱出来，每个程序都有自己的日志记录策略。管理员对保存什么信息或是信息存放在哪里没有控制权。

　　syslogd的配置文件

　　.syslogd的配置文件在/etc/syslog.conf规定了系统中要监视的事件和相应的日志的保存位置。

　　.cat /etc/syslog.cong

　　syslogd级别字段

　　.级别字段用于指明与每一种功能相关的级别和优先级：

　　alert----需要立即引起注意的情况。

　　crit----危险情况的报告。

　　err----除了emerg、alert、crit的其他错误。

　　warning----警告信息。

　　notice----需要引起注意的情况。

　　info----值得报告的信息。

　　debug------由运行于debug模式的程序所引起的消息。

　　none-----用于禁止任何消息。

　　*------所有级别。除了none。

　　emerg----出现紧急情况使得该系统不可用。

　　syslogd动作字段

　　.动作字段用于描述对应功能的动作。

　　file-----指定一个绝对路径的日志文件记录日志信息。

　　username-----发送消息到指定用户，*代表所有用户。

　　device---将消息发送到指定的设备中，如/dev/consols。

　　@hostname将消息发送到可解析的远程主机hostname，且该主机必须正在运行syslogd并可以识别syslog的配置文件。

　　查看日志文件

　　.常见的日志文件。

　　.日志文件通常存放在/var/log目录下。在该目录下除了包括syslogd记录的日志之外，同时还包含所用应用程序的日志。

　　.为了查看日志文件的内容必须要有root权限。日志文件中的信息很重要，只能让超级用户访问这次文件的权限。

　　log

　　cups/------存储cups打印系统的日志记录。

　　httpd/---记录apache的访问日志和错误日志目录。

　　mail/----存储mail日志的目录。

　　news/----存储INN新闻系统的日志目录。

　　boot.log----记录系统启动日志。

　　dmesg-----记录系统启动时的消息日志。

　　maillog---记录邮件系统的日志。

　　messages----由syslogd记录的info或更高级别的消息日志。

　　secure-------由syslogd记录的认证日志。

　　WTMP----一个用户每次登陆进入和退出时间的永久记录。

　　查看文本日志文件

　　.绝大多数日志文件都是纯文本文件，每一行就是一个消息。只要是在linux下能够处理纯文本的工具都能用来查看日志文件。可以使用cat、tac、more、less、tail和grep进行查看。
(责任编辑：VEVB)