CentOS下怎么查看日志文件的內(nèi)容

這篇文章主要講解了“CentOS下怎么查看日志文件的內(nèi)容”，文中的講解內(nèi)容簡(jiǎn)單清晰，易于學(xué)習(xí)與理解，下面請(qǐng)大家跟著小編的思路慢慢深入，一起來(lái)研究和學(xué)習(xí)“CentOS下怎么查看日志文件的內(nèi)容”吧！

1. 主要日志文件

Linux系統(tǒng)本身和大部分服務(wù)程序的日志文件默認(rèn)情況下都放置在目錄“/var/log”中。有些程序會(huì)共用一個(gè)日志文件，有些程序則會(huì)使用單個(gè)日志文件，還有一些比較大型的程序由于日志文件不止一個(gè)，所以會(huì)在“/var/log”目錄中建立相應(yīng)的子目錄來(lái)存放日志文件。有相當(dāng)一部分日志文件只有root用戶才有權(quán)限讀取，這保證了相關(guān)日志信息的安全性。

例：查看“/var/log”目錄中的各種日志文件及子目錄。

在這些日志文件中，比較重要或是經(jīng)常用到的有：

/var/log/messages：記錄Linux內(nèi)核消息及各種應(yīng)用程序的公共日志信息，包括啟動(dòng)、I/O錯(cuò)誤、網(wǎng)絡(luò)錯(cuò)誤、程序故障等。對(duì)于未使用獨(dú)立日志文件的應(yīng)用程序或服務(wù)，一般都可以從該日志文件中獲得相關(guān)的事件記錄信息。

/var/log/cron：記錄crond計(jì)劃任務(wù)產(chǎn)生的事件信息。

/var/log/dmesg：記錄Linux系統(tǒng)在引導(dǎo)過(guò)程中的各種事件信息。

/var/log/maillog：記錄進(jìn)入或發(fā)出系統(tǒng)的電子郵件活動(dòng)。

/var/log/lastlog：最近幾次成功登錄事件和最后一次不成功登錄事件。

/var/log/rpmpkgs：記錄系統(tǒng)中安裝的各rpm包列表信息。

/var/log/secure：記錄所有與安全相關(guān)以及用戶登錄認(rèn)證過(guò)程中的事件信息。

/var/log/wtmp：記錄每個(gè)用戶登錄、注銷及系統(tǒng)啟動(dòng)和停機(jī)事件。

/var/run/utmp：記錄當(dāng)前登錄的每個(gè)用戶的詳細(xì)信息。

2. 查看日志文件內(nèi)容

大多數(shù)的日志文件都可以使用tail、more、less、cat等文本處理工具查看日志內(nèi)容，其中在大多數(shù)情況下都是使用tail命令，這樣可以方便地查看到最近的日志信息。而且如果在tail命令中加上“-f”選項(xiàng)，還可以實(shí)時(shí)查看到日志文件中的最新信息。

通常情況下，內(nèi)核及大多數(shù)系統(tǒng)消息都被記錄到公共日志文件“/var/log/messages”中，而其它一些程序消息被記錄到不同的文件中。日志消息還能夠記錄到特定的存儲(chǔ)設(shè)備中，或者直接向用戶發(fā)送。

例：實(shí)時(shí)監(jiān)測(cè)/var/log/messages中的日志信息。

[root@localhost ~]# tail -f /var/log/messages

Oct 21 04:48:35 localhost avahi-daemon[3152]: Joining mDNS multicast group on interface eth0.IPv4 with address 192.168.80.130.

Oct 21 04:48:35 localhost avahi-daemon[3152]: Registering new address record for 192.168.80.130 on eth0.

Oct 21 04:48:35 localhost NET[4094]: /sbin/dhclient-script : updated /etc/resolv.conf

Oct 21 04:48:35 localhost dhclient: bound to 192.168.80.130 -- renewal in 760 seconds.

Oct 21 05:01:15 localhost dhclient: DHCPREQUEST on eth0 to 192.168.80.254 port 67

Oct 21 05:01:15 localhost dhclient: DHCPACK from 192.168.80.254

Oct 21 05:01:15 localhost dhclient: bound to 192.168.80.130 -- renewal in 723 seconds.

Oct 21 05:13:18 localhost dhclient: DHCPREQUEST on eth0 to 192.168.80.254 port 67

Oct 21 05:13:18 localhost dhclient: DHCPACK from 192.168.80.254

Oct 21 05:13:18 localhost dhclient: bound to 192.168.80.130 -- renewal in 749 seconds.

Oct 21 05:22:58 localhost kernel: Installing knfsd (copyright (C) 1996 okir@monad.swb.de).

Oct 21 05:22:58 localhost kernel: NFSD: Using /var/lib/nfs/v4recovery as the NFSv4 state recovery directory

Oct 21 05:22:58 localhost kernel: NFSD: starting 90-second grace period

大部分日志文件中所使用的日志記錄格式都是相同的。下面以公共日志文件“/var/log/messages”為例來(lái)說(shuō)明日志記錄的基本格式。

日志文件中的每一行表示一條消息，每個(gè)消息均由四個(gè)字段的固定格式組成。

時(shí)間標(biāo)簽：消息發(fā)出的日期和時(shí)間。

主機(jī)名：生成消息的計(jì)算機(jī)的名稱。

子系統(tǒng)名稱：發(fā)出消息的應(yīng)用程序的名稱。

消息：消息的具體內(nèi)容。

例如上面所顯示的最后一條消息：

Oct 21 05:22:58 localhost kernel: NFSD: starting 90-second grace period

這條消息的含義為：

10月21日05:22:58在localhost這臺(tái)主機(jī)上，由內(nèi)核kernel中的nfsd服務(wù)所產(chǎn)生的信息，信息的內(nèi)容為“starting 90-second grace period”。管理日志服務(wù)

RHEL系統(tǒng)中的內(nèi)核及系統(tǒng)日志功能主要由rsyslogd服務(wù)提供，該服務(wù)的配置文件為"/etc/rsyslog.conf"。

rsyslogd服務(wù)默認(rèn)已經(jīng)安裝并自動(dòng)運(yùn)行，/etc/rsyslog.conf配置文件則可以對(duì)日志進(jìn)行設(shè)置，它可以指定那些信息需要記錄，以及記錄在哪里。

例：查看/etc/rsyslog.conf配置文件中的主要內(nèi)容。

/etc/rsyslog.conf文件中的每一行代表一條設(shè)置值，每一條設(shè)置值的語(yǔ)法如下：

        消息類型   執(zhí)行動(dòng)作

其中的"消息類型"指定哪些消息需要記錄，"執(zhí)行動(dòng)作"則告訴系統(tǒng)日志服務(wù)該如何處理這些消息。

"消息類型"必須以下列的格式指定消息的種類：

        消息來(lái)源.優(yōu)先級(jí)

"消息來(lái)源"表示消息是從哪個(gè)子系統(tǒng)傳送過(guò)來(lái)的，來(lái)源主要有以下這些：

authpriv：與用戶安全、驗(yàn)證有關(guān)的消息；

cron：與計(jì)劃任務(wù)有關(guān)的消息；

daemon：與一般服務(wù)有關(guān)的消息；

kern：來(lái)自系統(tǒng)內(nèi)核的消息；

mail：來(lái)自郵件系統(tǒng)的消息；

localN：保留

"優(yōu)先級(jí)"則用來(lái)指出消息的優(yōu)先等級(jí)，即消息的重要程度。其優(yōu)先級(jí)別如下（數(shù)字等級(jí)越小，優(yōu)先級(jí)越高，消息越重要）：

0 EMERG（緊急）：會(huì)導(dǎo)致主機(jī)系統(tǒng)不可用的情況。

1 ALERT（警告）：必須馬上采取措施解決的問(wèn)題。

2 CRIT（嚴(yán)重）：比較嚴(yán)重的情況。

3 ERR（錯(cuò)誤）：運(yùn)行出現(xiàn)錯(cuò)誤。

4 WARNING（提醒）：可能影響系統(tǒng)功能，需要提醒用戶的重要事件。

5 NOTICE（注意）：不會(huì)影響正常功能，但是需要注意的事件。

6 INFO（信息）：一般信息。

7 DEBUG（調(diào)試）：程序或系統(tǒng)調(diào)試信息等。

除此之外，"消息來(lái)源"與"優(yōu)先級(jí)"可以使用星號(hào)（*）代表所有，因此*.*就表示來(lái)自所有子系統(tǒng)的所有級(jí)別的消息。

而"執(zhí)行動(dòng)作"字段則用來(lái)定義如何處理接收到的消息，可以指定如下幾項(xiàng)內(nèi)容：

/PATH/FILENAME：將消息存儲(chǔ)到指定的文件中，文件必須以斜線（/）開(kāi)頭的絕對(duì)路徑命名；

USERNAME：將消息發(fā)送給指定的已經(jīng)登錄的用戶；

@HOSTNAME：將消息轉(zhuǎn)發(fā)到指定的日志服務(wù)器；

*：將消息發(fā)送給所有已經(jīng)登錄的用戶。

因而文件中的設(shè)置值：

authpriv.*   /var/log/secure

它所代表的含義為：將與用戶安全、驗(yàn)證有關(guān)的所有級(jí)別的消息都存儲(chǔ)到指定的文件/var/log/secure中。

在對(duì)“消息類型”進(jìn)行設(shè)置時(shí)，有以下三種方法：

l  “.”：代表“比后面還要高的優(yōu)先級(jí)（含該優(yōu)先級(jí)）都被記錄下來(lái)”的意思，例如：mail.info代表只要是mail的消息，而且該消息優(yōu)先級(jí)高于info（含info本身）時(shí)，就會(huì)被記錄下來(lái)。

l  “.=”：代表所需要的優(yōu)先級(jí)就是后面的優(yōu)先級(jí)而已，其他的不要。

l  “.!”：代表不等于，也就是除了該優(yōu)先級(jí)外的其他優(yōu)先級(jí)都記錄。

比如下面的設(shè)置項(xiàng)：

        mail.info  /var/log/maillog_info

表示mail服務(wù)產(chǎn)生的大于等于info優(yōu)先級(jí)的信息，都記錄到/var/log/maillog_info文件中。

另外，如果需要對(duì)不同類型的消息，采用同一種“執(zhí)行動(dòng)作”，syslog.conf允許使用分號(hào)連接多個(gè)消息，例如設(shè)置值：

        *.info;mail.none;authpriv.none;cron.none          /var/log/messages

它表示的含義是：將所有的info級(jí)別以上的消息（不包括來(lái)自郵件系統(tǒng)的、與用戶安全、驗(yàn)證有關(guān)的、與計(jì)劃任務(wù)有關(guān)的消息），都存儲(chǔ)到指定的文件/var/log/messages中。

感謝各位的閱讀，以上就是“CentOS下怎么查看日志文件的內(nèi)容”的內(nèi)容了，經(jīng)過(guò)本文的學(xué)習(xí)后，相信大家對(duì)CentOS下怎么查看日志文件的內(nèi)容這一問(wèn)題有了更深刻的體會(huì)，具體使用情況還需要大家實(shí)踐驗(yàn)證。這里是億速云，小編將為大家推送更多相關(guān)知識(shí)點(diǎn)的文章，歡迎關(guān)注！