日志是系統用來記錄系統運行時候的一些相關消息的純文本文件
/var/log下保存着大量的純文本日志文件
日志的目的是為了保持相關程序的運行狀態,錯誤消息,為了對系統運行進行錯誤分析使用
1.內核消息
2.服務消息
3.應用程序消息
這篇文章將只涉及日志的保存和記錄
rsyslog是舊版syslog的增強
可以通過service rsyslog status查看當前狀態
可以通過service rsyslog start/stop/restart控制rsyslog服務
查看日志一般用tail命令查看最后10行(最新)
也可以通過tail -f 實時更新
/etc/rsyslog.conf是rsyslog的配置文件
格式XXX.YYY /var/filename XXX是日志來源 YYY是優先級
例如kern.error /var/kern_error
這條配置將把內核error錯誤寫入指定的文件中
路徑前加一個-(減號)將提高寫入效率,但是可能造成斷電時緩存丟失
例如kern.error -/var/kern_error
也可以將路徑寫成@192.168.1.1發送到日志服務器一個@表示UDP兩個@表示TCP 建議使用TCP
Facility-日志來源
| Facility | 消息來源 |
|---|---|
| kern | 內核消息 |
| user | 用戶級消息 |
| 郵件系統消息 | |
| daemon | 內核消息 |
| auth | 認證系統消息 |
| syslog | 日志系統自身消息 |
| lpr | 打印系統消息 |
| authpriv | 權限系統消息消息 |
| cron | 定時任務消息 |
| news | 新聞系統消息 |
| uucp | uucp系統消息 |
| ftp | ftp服務消息 |
Priority/Severity Level
| Emergency | 系統已經不可用 |
| Alert | 必須進行立即處理 |
| Critical | 嚴重錯誤 |
| Error | 錯誤 |
| Warning | 警告 |
| Notice | 正常信息,但較為重要 |
| Informational | 正常信息 |
| Debug | debug信息 |
/var/log下日志文件對應記錄消息
| 文件名 | 記錄消息 |
|---|---|
| boot.log | 啟動消息 |
| secure | 用戶切換登錄等相關消息 |
| messages | 正常消息 |
| dmesg | 內核消息 |
| messages | 正常消息 |