收藏
下载资源

12[1].7_日志系统和系统日志

上传人:nbwa****ajie 文档编号:37570460 上传时间:2018-04-18 格式:PDF 页数:8 大小:253.53KB
返回 下载 相关 举报
12[1].7_日志系统和系统日志_第1页
第1页 / 共8页
12[1].7_日志系统和系统日志_第2页
第2页 / 共8页
12[1].7_日志系统和系统日志_第3页
第3页 / 共8页
12[1].7_日志系统和系统日志_第4页
第4页 / 共8页
12[1].7_日志系统和系统日志_第5页
第5页 / 共8页
点击查看更多>>
资源描述

《12[1].7_日志系统和系统日志》由会员分享,可在线阅读,更多相关《12[1].7_日志系统和系统日志(8页珍藏版)》请在金锄头文库上搜索。

1、 CentOS 丛书目录 系统管理 网络服务 应用部署日志系统和系统日志内容提要理解syslog系统1. 熟悉syslogd的配置文件及其语法2. 学会查看系统日志3. 理解日志滚动的必要性及实现方法4.日志系统什么是 syslog日志的主要用途是系统审计、监测追踪和分析统计。为了保证 Linux 系统正常运行、准确解决遇到的各种各样的系统问题,认真地读取日志文件是管理员的一项非常重要的 任务。Linux 内核由很多子系统组成,包括网络、文件访问、内存管理等。子系统需要给用户传送一些消息,这些消息内容包 括消息的来源及其重要性等。所有的子系统都要把消息送到一个可以维护的公用消息区,于是,就有了

2、 syslog。syslog 是一个综合的日志记录系统。它的主要功能是:方便日志管理和分类存放日志。 syslog 使程序设计者从繁重 的、机械的编写日志文件代码的工作中解脱出来,使管理员更好地控制日志的记录过程。在 syslog 出现之前,每个程 序都使用自己的日志记录策略。管理员对保存什么信息或是信息存放在哪里没有控制权。syslog 能设置成根据输出信息的程序或重要程度将信息排序到不同的文件。例如,由于核心信息更重要且需要有规律 地阅读以确定问题出在哪里,所以要把核心信息与其他信息分开来,单独定向到一个分离的文件中。管理员可以通过编辑 /etc/syslog.conf 来配置它们的行为。

3、syslogd 的配置文件syslogd 的配置文件 /etc/syslog.conf 规定了系统中需要监视的事件和相应的日志的保存位置。使用如下命令:cat /etc/syslog.conf可以查看此文件的内容为:# Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console# 将 info 或更高级别的消息送到 /var/log/messages, # 除了 mail/news/authpriv/cron 以外。 # 其中*是通配符,代表任何

4、设备;none 表示不对任何级别的信息进行记录。 *.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages# 将 authpirv 设备的任何级别的信息记录到 /var/log/secure 文件中, # 这主要是一些和认证、权限使用相关的信息。 authpriv.* /var/log/secureSmarTraining 工作室 日志系统和系统日志http:/ 共8页2008-10-18 7:59# 将 mail 设备中的任何级别的信息记录到 /var/log/maillog 文件中, # 这主要是和电子邮件相关

5、的信息。 mail.* -/var/log/maillog# 将 cron 设备中的任何级别的信息记录到 /var/log/cron 文件中, # 这主要是和系统中定期执行的任务相关的信息。 cron.* /var/log/cron# 将任何设备的 emerg 级别或更高级别的消息发送给所有正在系统上的用户。 *.emerg *# 将 uucp 和 news 设备的 crit 级别或更高级别的消息记录到 /var/log/spooler 文件中。 uucp,news.crit /var/log/spooler# 将和本地系统启动相关的信息记录到 /var/log/boot.log 文件中。 l

6、ocal7.* /var/log/boot.log# 将 news 设备的 crit 级别的消息记录到 /var/log/news/news.crit 文件中。 news.=crit /var/log/news/news.crit # 将 news 设备的 err 级别的消息记录到 /var/log/news/news.err 文件中。 news.=err /var/log/news/news.err # 将 news 设备的 notice 或更高级别的消息记录到 /var/log/news/news.notice 文件中。 news.notice /var/log/news/news.not

7、ice该配置文件的每一行的格式如下:facility.priority action 设备.级别 动作其中:1、设备字段用来指定需要监视的事件。它可取的值如下:设备字段说明authpriv报告认证活动。通常,口令等私有信息不会被记录cron报告与cron和at有关的信息daemon报告与xinetd有关的信息kern报告与内核有关的信息。通常这些信息首先通过klogd传送lpr报告与打印服务有关的信息mail报告与邮件服务有关的信息mark在默认情况下每隔20分钟就会生成一次表示系统还在正常运行的消息。Mark消息很像经常用来确认远程主机是否还在运行的“心跳信号 ”(Heartbeat)。Ma

8、rk消息另外的一个用途是用于事后分析,能够帮助系统管理员确定系统死机发生的时间。news报告与网络新闻服务有关的信息syslog由syslog生成的信息user报告由用户程序生成的任何信息,是可编程缺省值uucp由UUCP生成的信息local0- local7与自定义程序一起使用*代表除了mark之外的所有功能2、级别字段用于指明与每一种功能有关的级别和优先级。它可取的值如下:级别字段说明emerg出现紧急情况使得该系统不可用,有些需广播给所有用户alert需要立即引起注意的情况SmarTraining 工作室 日志系统和系统日志http:/ 共8页2008-10-18 7:59crit危险情

9、况的警告err除了emerg、alert、crit的其他错误warning警告信息notice需要引起注意的情况,但不如err、warning重要info值得报告的消息debug由运行于debug模式的程序所产生的消息none用于禁止任何消息*所有级别,除了none3、动作字段用于描述对应功能的动作。它可取的值如下:动作字段说明file指定一个绝对路径的日志文件名记录日志信息username发送信息到指定用户,*表示所有用户device将信息发送到指定的设备中,如/dev/consolehostname 将信息发送到可解析的远程主机hostname,且该主机必须正在运行syslogd并可以识别

10、syslog的配置文件syslog 可以为某一事件指定多个动作,也可以同时指定多个功能和级别,它们之间用分号间隔。参考http:/man.cx/syslog.conf http:/ /var/log 目录下。在该目录下除了包括 syslogd 记录的日志之外,同时还包含所有应用程序的 日志。为了查看日志文件的内容必须要有 root 权限。日志文件中的信息很重要,只能让超级用户有访问这些文件的权限。管理员可以使用下面的命令ls /var/log/查看系统中使用的日志文件,常用的日志文件如表所示。日志文件说明audit/存储 auditd 审计守护进程的日志目录conman/存储 ConMan 串

11、行终端管理守护进程的日志目录cups/存储 CUPS 打印系统的日志目录httpd/记录 apache 的访问日志和错误日志目录mail/存储 mail 日志的目录news/存储 INN 新闻系统的日志目录pm/存储电源管理的日志目录ppp/存储 pppd 的日志目录prelink/prelink 的日志目录SmarTraining 工作室 日志系统和系统日志http:/ 共8页2008-10-18 7:59samba/记录 Samba 的每个用户的日志目录squid/记录 Squid 的日志目录vbox/ISDN 子系统的日志目录acpid存储 acpid 高级电源管理守护进程的日志anac

12、onda.*Red Hat/CentOS 安装程序 anaconda 的日志,参考 redhat 安装程序 anaconda 分析 http:/ /index.php?q=aHR0cDovL3d3dy5pYm0uY29tL2RldmVsb3BlcndvcmtzL2NuL2xpbnV4L2wtYW5hY29uZGEvaW5kZXguaHRtbA%3D%3Dboot.log记录系统启动日志btmp记录登陆未成功的信息日志cron记录守护进程 crond 的日志dmesg记录系统启动时的消息日志lastlog记录最近几次成功登录的事件和最后一次不成功的登录maillog记录邮件系统的日志messag

13、es由 syslogd 记录的 info 或更高级别的消息日志rpmpkgs记录了当前安装的所有 rpm 包secure由 syslogd 记录的认证日志spooler由 syslogd 记录的 uucp 和 news 的日志vsftpd.log记录 vsftpd 的日志wtmp一个用户每次登录进入和退出时间的永久记录yum.log记录 yum 的日志查看文本日志文件绝大多数日志文件是纯文本文件,每一行就是一个消息。只要是在Linux下能够处理纯文本的工具都能用来查看日志文 件。可以使用 cat、tac、more、less、tail 和 grep 进行查看。下面以 /var/log/messa

14、ges 为例,说明其日志文件的格式。该文件中每一行表示一个消息,而且都由四个域的固定格式组成: 时间标签(Timestamp):表示消息发出的日期和时间。 主机名(Hostname):表示生成消息的计算机的名字。 生成消息的子系统的名字:可以是“Kernel”,表示消息来自内核或者是进程的名字,表示发出消息的程序的名字。 在方括号里的是进程的PID。 消息(Message),即消息的内容。例如:# syslog 发出的消息,说明了守护进程已经在 Dec 16,03:32:41 重新启动了。 Dec 16 03:32:41 cnetos5 syslogd 1.4.1: restart. # 在 Dec 19,00:20:56 启动了内核日志

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 其它办公文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号