議程

　　理解syslog系統(tǒng)

　　熟悉syslogd的配置文件及其語(yǔ)法學(xué)會(huì)查看系統(tǒng)日志理解日志滾動(dòng)的必要性及實(shí)現(xiàn)方法

　　syslog

　　什么是syslog

　　.日志的主要用途是系統(tǒng)審計(jì)、檢測(cè)追蹤和分析統(tǒng)計(jì)。

　　.為了保證linux系統(tǒng)正常運(yùn)行、準(zhǔn)確解決遇到的各種各樣的系統(tǒng)問(wèn)題，認(rèn)真地讀取日志文件是管理員的一項(xiàng)非常重要的任務(wù)。

　　.linux內(nèi)核由很多子系統(tǒng)組成，包括網(wǎng)絡(luò)、文件訪問(wèn)、內(nèi)存管理等。子系統(tǒng)需要給用戶傳送一些消息，這些消息包括消息的來(lái)源及其重要性等。所有的子系統(tǒng)都要把消息送到一個(gè)可以維護(hù)的公用消息區(qū)，于是，就有了syslog。

　　.syslog是一個(gè)綜合的日志記錄系統(tǒng)。它的主要功能是：方便日志管理和分類存放日志。syslog使程序設(shè)計(jì)者從繁重的、機(jī)械的編寫日志文件代碼的工作中解脫出來(lái)，每個(gè)程序都有自己的日志記錄策略。管理員對(duì)保存什么信息或是信息存放在哪里沒(méi)有控制權(quán)。

　　syslogd的配置文件

　　.syslogd的配置文件在/etc/syslog.conf規(guī)定了系統(tǒng)中要監(jiān)視的事件和相應(yīng)的日志的保存位置。

　　.cat /etc/syslog.cong

　　syslogd級(jí)別字段

　　.級(jí)別字段用于指明與每一種功能相關(guān)的級(jí)別和優(yōu)先級(jí)：

　　alert----需要立即引起注意的情況。

　　crit----危險(xiǎn)情況的報(bào)告。

　　err----除了emerg、alert、crit的其他錯(cuò)誤。

　　warning----警告信息。

　　notice----需要引起注意的情況。

　　info----值得報(bào)告的信息。

　　debug------由運(yùn)行于debug模式的程序所引起的消息。

　　none-----用于禁止任何消息。

　　*------所有級(jí)別。除了none。

　　emerg----出現(xiàn)緊急情況使得該系統(tǒng)不可用。

　　syslogd動(dòng)作字段

　　.動(dòng)作字段用于描述對(duì)應(yīng)功能的動(dòng)作。

　　file-----指定一個(gè)絕對(duì)路徑的日志文件記錄日志信息。

　　username-----發(fā)送消息到指定用戶，*代表所有用戶。

　　device---將消息發(fā)送到指定的設(shè)備中，如/dev/consols。

　　@hostname將消息發(fā)送到可解析的遠(yuǎn)程主機(jī)hostname，且該主機(jī)必須正在運(yùn)行syslogd并可以識(shí)別syslog的配置文件。

　　查看日志文件

　　.常見的日志文件。

　　.日志文件通常存放在/var/log目錄下。在該目錄下除了包括syslogd記錄的日志之外，同時(shí)還包含所用應(yīng)用程序的日志。

　　.為了查看日志文件的內(nèi)容必須要有root權(quán)限。日志文件中的信息很重要，只能讓超級(jí)用戶訪問(wèn)這次文件的權(quán)限。

　　log

　　cups/------存儲(chǔ)cups打印系統(tǒng)的日志記錄。

　　httpd/---記錄apache的訪問(wèn)日志和錯(cuò)誤日志目錄。

　　mail/----存儲(chǔ)mail日志的目錄。

　　news/----存儲(chǔ)INN新聞系統(tǒng)的日志目錄。

　　boot.log----記錄系統(tǒng)啟動(dòng)日志。

　　dmesg-----記錄系統(tǒng)啟動(dòng)時(shí)的消息日志。

　　maillog---記錄郵件系統(tǒng)的日志。

　　messages----由syslogd記錄的info或更高級(jí)別的消息日志。

　　secure-------由syslogd記錄的認(rèn)證日志。

　　WTMP----一個(gè)用戶每次登陸進(jìn)入和退出時(shí)間的永久記錄。

　　查看文本日志文件

　　.絕大多數(shù)日志文件都是純文本文件，每一行就是一個(gè)消息。只要是在linux下能夠處理純文本的工具都能用來(lái)查看日志文件?？梢允褂胏at、tac、more、less、tail和grep進(jìn)行查看。
(責(zé)任編輯：VEVB)