Centos7深入了解文件系統(tǒng)與日志文件（三）日志文件

1、日志文件的功能

日志文件是用于記錄Linux系統(tǒng)中各種運(yùn)行信息的文件，相當(dāng)于Linux主機(jī)的“日記”。不同的日志文件記載了不同類型的信息，如Linux內(nèi)核消息、用戶登錄事件、程序錯(cuò)誤等。

日志文件對(duì)于診斷和解決系統(tǒng)中的問(wèn)題很有幫助，因?yàn)樵贚inux系統(tǒng)中運(yùn)行的程序通常會(huì)把系統(tǒng)消息和錯(cuò)誤消息寫(xiě)入相應(yīng)的日志文件，這樣系統(tǒng)一旦出現(xiàn)問(wèn)題就會(huì)“有據(jù)可查”。此外，日志文件還可以幫助尋找訪問(wèn)者留下的痕跡。

2、日志文件的分類

（1）內(nèi)核及系統(tǒng)日志：

在6以上的系統(tǒng)版本中，這種日志數(shù)據(jù)由系統(tǒng)服務(wù)rsyslog同一管理，根據(jù)其主配置文件/etc/rsyslog.conf中的設(shè)置決定將內(nèi)核消息及各種系統(tǒng)程序消息記錄到什么位置。

（2）用戶日志：

用于記錄Linux系統(tǒng)用戶登錄及退出系統(tǒng)的相關(guān)信息，包括用戶名、登錄的終端、登錄時(shí)間、來(lái)源主機(jī)、正在使用的進(jìn)程操作等。

（3）程序日志：

有些應(yīng)用程序會(huì)選擇由自己獨(dú)立管理一份日志文件，而不是交給rsyslog服務(wù)管理，用于記錄本程序運(yùn)行過(guò)程中的各種事件信息。

3、日志文件的位置

Linux系統(tǒng)本身和大部分服務(wù)器程序的日志文件默認(rèn)放在/var/log/下。一部分程序共用一個(gè)日志文件，一部分程序使用單個(gè)日志文件。而有些大型服務(wù)器程序日志由于日志文件不止一個(gè)，所以會(huì)在/var/log/目錄中建立相應(yīng)的子目錄來(lái)存放日志文件，這樣既保證了日志文件目錄的結(jié)構(gòu)清晰，又可以快速定位日志文件。

有相當(dāng)一部分日志只有root用戶才有權(quán)限讀取，這保證了相關(guān)日志信息的安全性。

4、常見(jiàn)的日志文件及查看方式

5、日志消息的級(jí)別

在Linux內(nèi)核中，根據(jù)日志消息的重要程度不同，將其分為不同的有限級(jí)別（數(shù)字等級(jí)越小，優(yōu)先級(jí)越高，消息越重要）

6、日志文件分析

(1).保存了用戶登錄，退出系統(tǒng)等相關(guān)信息

(2).分析工具

users ：查看可以登錄的用戶

who，w ：查看在線的用戶

last：查看最近登錄的用戶

lastb：查看最近嘗試登錄且失敗的用戶

（3）.由相應(yīng)的應(yīng)用程序獨(dú)立進(jìn)行管理

(4).分析工具

7.日志管理策略

總的來(lái)說(shuō)，作為一名合格的系統(tǒng)管理人員，應(yīng)該提高警惕，隨時(shí)注意各種可疑的狀況，定期并隨機(jī)的檢查各種系統(tǒng)日志文件，包括一般信息日志、網(wǎng)絡(luò)連接日志、文件傳輸日志及用戶登錄日志記錄等。在檢查這些日志時(shí)，要注意是否有不合常理的時(shí)間或操作記錄