linux日誌查看
⑴ 如何實時查看linux下的日誌
Linux日誌文件在/var/log目錄下,可以通過命令查看日誌文件。
1,cat messages可以查看某個日誌文件。
2,要達到實時更新,可以通過tail命令查看更新的數據,例如tail -f messages。
3,tail命令參數:
-f 循環讀取
-q 不顯示處理信息
-v 顯示詳細的處理信息
-c<數目> 顯示的位元組數
-n<行數> 顯示行數
--pid=PID 與-f合用,表示在進程ID,PID死掉之後結束.
-q, --quiet, --silent 從不輸出給出文件名的首部
-s, --sleep-interval=S 與-f合用,表示在每次反復的間隔休眠S秒。
⑵ Linux系統中如何查看日誌信息
cat
tail -f
日 志 文 件 說 明
/var/log/message 系統啟動後的信息和錯誤日誌,是Red Hat Linux中最常用的日誌之一
/var/log/secure 與安全相關的日誌信息
/var/log/maillog 與郵件相關的日誌信息
/var/log/cron 與定時任務相關的日誌信息
/var/log/spooler 與UUCP和news設備相關的日誌信息
/var/log/boot.log 守護進程啟動和停止相關的日誌消息
系統:
echo $PATH # 顯示系統變數的信息
# uname -a # 查看內核/操作系統/CPU信息
# cat /etc/issue
# cat /etc/redhat-release # 查看操作系統版本
# cat /proc/cpuinfo # 查看CPU信息
# hostname # 查看計算機名
# lspci -tv # 列出所有PCI設備
# lsusb -tv # 列出所有USB設備
# lsmod # 列出載入的內核模塊
# env # 查看環境變數
資源:
# free -m # 查看內存使用量和交換區使用量
# df -h # 查看各分區使用情況
# -sh <目錄名> # 查看指定目錄的大小
# grep MemTotal /proc/meminfo # 查看內存總量
# grep MemFree /proc/meminfo # 查看空閑內存量
# uptime # 查看系統運行時間、用戶數、負載
# cat /proc/loadavg # 查看系統負載
磁碟和分區:
# mount | column -t # 查看掛接的分區狀態
# fdisk -l # 查看所有分區
# swapon -s # 查看所有交換分區
# hdparm -i /dev/hda # 查看磁碟參數(僅適用於IDE設備)
# dmesg | grep IDE # 查看啟動時IDE設備檢測狀況
網路:
# ifconfig # 查看所有網路介面的屬性
# iptables -L # 查看防火牆設置
# route -n # 查看路由表
# netstat -lntp # 查看所有監聽埠
# netstat -antp # 查看所有已經建立的連接
# netstat -s # 查看網路統計信息
進程:
# ps -ef # 查看所有進程
# top # 實時顯示進程狀態(另一篇文章裡面有詳細的介紹)
用戶:
# w # 查看活動用戶
# id <用戶名> # 查看指定用戶信息
# last # 查看用戶登錄日誌
# cut -d: -f1 /etc/passwd # 查看系統所有用戶
# cut -d: -f1 /etc/group # 查看系統所有組
# crontab -l # 查看當前用戶的計劃任務
服務:
# chkconfig –list # 列出所有系統服務
# chkconfig –list | grep on # 列出所有啟動的系統服務
程序:
# rpm -qa # 查看所有安裝的軟體包
⑶ 如何查看linux的系統log日誌
日誌文件詳細地記錄了系統每天發生的各種各樣的事件。用戶可以通過日誌文件檢查錯誤產生的原因,或者在受到攻擊和黑客入侵時追蹤攻擊者的蹤跡。日誌的兩個比較重要的作用是:審核和監測。
Linux系統的日誌主要分為兩種類型:
1.進程所屬日誌
由用戶進程或其他系統服務進程自行生成的日誌,比如伺服器上的access_log與error_log日誌文件。
2.syslog消息
系統syslog記錄的日誌,任何希望記錄日誌的系統進程或者用戶進程都可以給調用syslog來記錄日誌。
日誌系統可以劃分為三個子系統:
1. 連接時間日誌--由多個程序執行,把紀錄寫入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系統管理員能夠跟蹤誰在何時登錄到系統。
2. 進程統計--由系統內核執行。當一個進程終止時,為每個進程往進程統計文件(pacct或acct)中寫一個紀錄。進程統計的目的是為系統中的基本服務提供命令使用統計。
3. 錯誤日誌--由syslogd(8)執行。各種系統守護進程、用戶程序和內核通過syslog(3)向文件/var/log/messages報告值得注意的事件。
2.察看日誌文件
Linux系統所有的日誌文件都在/var/log下,且必須有root許可權才能察看。
日誌文件其實是純文本的文件,每一行就是一個消息。察看方式有很多。
1. cat命令。日誌文件總是很大的,因為從第一次啟動Linux開始,消息都累積在日誌文件中。如果這個文件不只一頁,那麼就會因為顯示滾動得太快看不清文件的內容。
2. 文本編輯器。最好也不要用文本編輯器打開日誌文件,這是因為一方面很耗費內存,另一方面不允許隨意改動日誌文件。
3.用more或less那樣的分頁顯示程序。
4.用grep查找特定的消息。
每一行表示一個消息,而且都由四個域的固定格式組成:
n 時間標簽(timestamp),表示消息發出的日期和時間
n 主機名(hostname)(在我們的例子中主機名為escher),表示生成消息的計算機的名字。如果只有一台計算機,主機名就可能沒有必要了。但是,如果在網路環境中使用syslog,那麼就可能要把不同主機的消息發送到一台伺服器上集中處理。
n 生成消息的子系統的名字。可以是"kernel",表示消息來自內核,或者是進程的名字,表示發出消息的程序的名字。在方括弧里的是進程的PID。
n 消息(message),剩下的部分就是消息的內容。
舉例:
在[root@localhost root]# 提示符下輸入:tail /var/log/messages
Jan 05 21:55:51 localhost last message repeated 3 times
Jan 05 21:55:51 localhost kernel: [drm] AGP 0.99 on Intel i810 @ 0xf0000000 128M
B
Jan 05 21:55:51 localhost kernel: [drm] Initialized i830 1.3.2 20021108 on minor
0
Jan 05 21:55:51 localhost kernel: mtrr: base(0xf0000000) is not aligned on a siz
e(0x12c000) boundary
Jan 05 21:56:35 localhost 1月 28 21:56:35 gdm(pam_unix)[4079]: session opened f
or user root by (uid=0)
Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 正在啟動(版本 2.
2.0),pid 4162 用戶"root"
Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re
adonly:/etc/gconf/gconf.xml.mandatory"指向位於 0 的只讀配置源
Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re
adwrite:/root/.gconf"指向位於 1 的可寫入配置源
Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re
adonly:/etc/gconf/gconf.xml.defaults"指向位於 2 的只讀配置源
Jan 05 21:58:20 localhost kernel: MSDOS FS: IO charset cp936
值得注意的是,與連接時間日誌不同,進程統計子系統默認不激活,它必須啟動。在Linux
系統中啟動進程統計使用accton命令,必須用root身份來運行。accton命令的形式為:accton
file,file必須事先存在。先使用touch命令創建pacct文件:touch
/var/log/pacct,然後運行accton:accton
/var/log/pacct。一旦accton被激活,就可以使用lastcomm命令監測系統中任何時候執行的命令。若要關閉統計,可以使用不帶任何
參數的accton命令。
3.日誌系統工作原理及配置
3.1 syslog
它同closelog, openlog共同給system logger發送消息。
Linux內核由很多子系統組成,包括網路、文件訪問、內存管理等。子系統需要給用戶傳送一些消息,這些消息內容包括消息的來源及其重要性等。所有的子系統都要把消息送到一個可以維護的公用消息區。於是,就有了一個叫Syslog的程序。
這個程序負責接收消息(比如:系統核心和許多系統程序產生的錯誤信息、警告信息和其他信息,每個信息都包括重要級),並把消息分發到合適的地方。通常情況
下,所有的消息都被記錄到特定的文件——日誌文件中(通常是/var/adm或/var/log目錄下的messages文件),特別重要的消息也會在用
戶終端窗口上顯示出來。
syslog工具有兩個重要文件:syslogd和syslog.Conf
它能接受訪問系統的日誌信息並且根據 "/etc/syslog.conf" 配置文件中的指令處理這些信息。守護進程和內核提供了訪問系統的日誌信息。因此,任何希望生成日誌信息的程序都可以向 syslog 介面呼叫生成該信息。
3.2 syslogd守護進程
就象其它復雜的操作系統那樣,Linux也是由很多不同的子系統組成的。有些叫做daemon的程序一直在後台運行(daemon:守護神之意。也就是
說,他們"默默無聞",不需要和用戶交互),處理一些象列印、發送郵件、建立Internet連接,等等日常工作。每一個子系統發出日誌消息的時候都會給
消息指定一個類型。一個消息分成兩個部分:"設備(facility)"和"級別(level)"。"設備"標識發出消息的子系統,可以把同一類型的消息組合在一起,"級別"表示消息的重要性,其范圍從debug(最不重要)到emerg(最重要),facility和level組合起來稱為priority。(詳細解釋參照5.3)
/usr/include/sys/syslog.h中對此有相關的定義。
用戶看不到daemon程序,因為它們沒有窗口和用戶界面。但是,這些程序有時候也要給用戶傳遞一些信息。為了實現這個目的,就需要一個特殊的機制。syslogd就是daemon的一個很好的例子,它在後台運行並且把消息從日誌區轉移到日誌文件中去。
函數介面
#include
void openlog( char * , int , int )
其中,可以是以下值的OR組合:
LOG_CONS : 如果消息無法送到syslogd,直接輸出到系統console。
LOG_NDELAY : 立即打開到syslogd的連接,默認連接是在第一次寫入訊息時才打開的。
LOG_PERROR : 將消息也同時送到stderr 上
LOG_PID : 將PID記錄到每個消息中
void syslog( int , char * )
其中,是facility和level的OR組合
void closelog( void )
一般只需要用syslog()函數,其他函數可以不用。
3.3 syslog.conf
這是一個非常重要的文件。位於"/etc/"目錄下。通知 syslogd 如何根據設備和信息重要級別來報告信息。
該文件使用下面的形式:
facility.level action
syslog.conf 的第一列facility.level用來指定日誌功能和日誌級別,中間用.隔開,可以使用*來匹配
所有的日誌功能和日誌級別。第二列action是消息的分發目標。
空白行和以#開頭的行是注釋,可以忽略。
Facility.level 欄位也被稱做選擇域(seletor)。
n facility 指定 syslog 功能,主要包括以下這些:
auth 由 pam_pwdb 報告的認證活動。
authpriv 包括特權信息如用戶名在內的認證活動
cron 與 cron 和 at 有關的信息。
daemon 與 inetd 守護進程有關的信息。
kern 內核信息,首先通過 klogd 傳遞。
lpr 與列印服務有關的信息。
mail 與電子郵件有關的信息
mark syslog 內部功能用於生成時間戳
news 來自新聞伺服器的信息
syslog 由 syslog 生成的信息
user 由用戶程序生成的信息
uucp 由 uucp 生成的信息
local0----local7 與自定義程序使用,例如使用 local5 做為 ssh 功能
* 通配符代表除了 mark 以外的所有功能
level 級別,決定訊息的重要性。
與每個功能對應的優先順序是按一定順序排列的,emerg 是最高級,其次是 alert,依次類推。預設時,在 /etc/syslog.conf 記錄中指定的級別為該級別和更高級別。如果希望使用確定的級別可以使用兩個運算符號!(不等)和=。
例如:user.=info 表示告知 syslog 接受所有在 info 級別上的 user 功能信息。
n 以下的等級重要性逐次遞減:
emerg 該系統不可用
alert 需要立即被修改的條件
crit 阻止某些工具或子系統功能實現的錯誤條件
err 阻止工具或某些子系統部分功能實現的錯誤條件
warning 預警信息
notice 具有重要性的普通條件
info 提供信息的消息
debug 不包含函數條件或問題的其他信息
none 沒有重要級,通常用於排錯
* 所有級別,除了none
n action 欄位為動作域,所表示的活動具有許多靈活性,特別是,可以使用名稱管道的作用是可以使 syslogd 生成後處理信息。
syslog 主要支持以下活動:
file 將消息追加到指定的文件尾
terminal 或 print 完全的串列或並行設備標志符
@host 遠程的日誌伺服器
username 將消息寫到指定的用戶
named pipe 指定使用 mkfifo 命令來創建的 FIFO 文件的絕對路徑。
* 將消息寫到所有的用戶
選擇域指明消息的類型和優先順序;動作域指明syslogd接收到一個與選擇標准相匹配的消息時所執行的動作。每個選項是由設備和優先順序組成。當指明一個優先順序時,syslogd將紀錄一個擁有相同或更高優先順序的消息。比如如果指明"crit",則所有標為crit、alert和emerg的消息將被紀錄。每行的行動域指明當選擇域選擇了一個給定消息後應該把他發送到什麼地方。
以下是一個實際站點的配置(syslog.conf)文件:
# Store critical stuff in critical
#
*.=crit;kern.none /var/adm/critical
這個將把所有信息以優先權的crit保存在/var/adm/critical文件中,除了一些內核信息
# Kernel messages are first, stored in the kernel
# file, critical messages and higher ones also go
# to another host and to the console
#
kern.* /var/adm/kernel
kern.crit @finlandia
kern.crit /dev/console
kern.info;kern.!err /var/adm/kernel-info
第一條代碼指引一些內核設備訪問文件/var/adm/kernel的信息。
第二條代碼直接引導所有擁有crit和更高優先權的內核信息訪問遠程主機。如果它們也存儲在遠程主機上,仍舊可以試著找到毀壞的原因。
第四行說明syslogd 保存了所有擁有info 到warning優先順序的內核信息在/var/adm/kernel-info文件夾下。所有err和更高優先順序的被排除在外。
# The tcp wrapper loggs with mail.info, we display
# all the connections on tty12
#
mail.=info /dev/tty12
這個引導所有使用mail.info (in source LOG_MAIL | LOG_INFO)的信息到/dev/tty12下,第12
個控制台。例如tcpwrapper
tcpd
(8)載預設時使用這個
# Store all mail concerning stuff in a file
mail.*;mail.!=info /var/adm/mail
模式匹配了所有具有mail功能的信息,除了擁有info優先順序的。他們將被保存在文件/var/adm/mail中
# Log all mail.info and news.info messages to info
#
mail,news.=info /var/adm/info
提取所有具有mail.info 或news.info 功能優先順序的信息存儲在文件/var/adm/info中
# Log info and notice messages to messages file
#
*.=info;*.=notice;\
mail.none /var/log/messages
使所有syslogd日誌中具有info 或notice功能的信息存儲在文件/var/log/messages中,除了所有mail功能的信息
# Log info messages to messages file
#
*.=info;\
mail,news.none /var/log/messages
這個聲明使syslogd日誌中所有具有info優先權的信息存儲在/var/log/messages文件中。但是一些有mail 或news功能的信息不能被存儲。
# Emergency messages will be displayed using wall
#
*.=emerg *
這行代碼告訴syslogd寫所有緊急信息到所有當前登陸用戶日誌中。這個將被實現
# Messages of the priority alert will be directed
# to the operator
#
*.alert root,joey
*.* @finlandia
這個代碼指引所有具有alert 或更高級許可權的信息到終端操作。
第二行代碼引導所有信息到叫做finlandia的遠程主機。這個代碼非常有用,特別是在所有syslog信息將被保存到一台機器上的群集計算機。
3.4 klogd 守護進程
klog是一個從UNIX內核接受消息的設備
klogd
守護進程獲得並記錄 Linux 內核信息。通常,syslogd 會記錄 klogd
傳來的所有信息。也就是說,klogd會讀取內核信息,並轉發到syslogd進程。然而,如果調用帶有 -f filename 變數的 klogd
時,klogd 就在 filename 中記錄所有信息,而不是傳給 syslogd。當指定另外一個文件進行日誌記錄時,klogd
就向該文件中寫入所有級別或優先權。Klogd 中沒有和 /etc/syslog.conf 類似的配置文件。使用 klogd 而避免使用
syslogd 的好處在於可以查找大量錯誤。
總結
其中,箭頭代表發送消息給目標進程或者將信息寫入目標文件。
圖1 Linux日誌系統
日誌管理及日誌保護
logrotate程序用來幫助用戶管理日誌文件,它以自己的守護進程工作。logrotate周期性地旋轉日誌文件,可以周期性地把每個日誌文件重命名
成一個備份名字,然後讓它的守護進程開始使用一個日誌文件的新的拷貝。在/var/log/下產生如maillog、maillog.1、
maillog.2、boot.log.1、boot.log.2之類的文件。它由一個配置文件驅動,該文件是
/etc/logroatate.conf。
以下是logroatate.conf文件例子:
# see "man logrotate" for details
# rotate log files weekly
weekly
#以7天為一個周期
# keep 4 weeks worth of backlogs
rotate 4
#每隔4周備份日誌文件
# send errors to root
errors root
#發生錯誤向root報告
# create new (empty) log files after rotating old ones
create
#轉完舊的日誌文件就創建新的日誌文件
# uncomment this if you want your log files compressed
#compress
#指定是否壓縮日誌文件
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# no packages own lastlog or wtmp -- we'll rotate them here
/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
}
# system-specific logs may be configured here
在網路應用中,有一種保護日誌的方式,在網路中設定一台秘密的syslog主機,把這台主機的網卡設為混雜模式,用來監聽子網內所有的syslog包,這
樣把所有需要傳送日誌的主機配置為向一台不存在的主機發送日誌即可。這樣即使黑客攻陷了目標主機,也無法通過syslog.conf文件找到備份日誌的主
機,那隻是一個不存在的主機。實際操作中還可以輔以交換機的配置,以確保syslog包可以被備份日誌主機上的syslog進程接受到。比如把
syslog.conf中的傳送日誌主機設為
@192.168.0.13,但實際網路中不存在這個日誌主機,實際可能是192.168.0.250或者其他主機正在接受syslog包。
⑷ linux中怎樣查看日誌
方法/步驟
先必須了解兩個最基本的命令:
tail -n 10 test.log 查詢日誌尾部最後10行的日誌;
tail -n +10 test.log 查詢10行之後的所有日誌;
head -n 10 test.log 查詢日誌文件中的頭10行日誌;
head -n -10 test.log 查詢日誌文件除了最後10行的其他所有日誌;
場景1: 按行號查看---過濾出關鍵字附近的日誌
因為通常時候我們用grep拿到的日誌很少,我們需要查看附近的日誌.
我是這樣做的,首先: cat -n test.log |grep "地形" 得到關鍵日誌的行號
<3>得到"地形"關鍵字所在的行號是102行. 此時如果我想查看這個關鍵字前10行和後10行的日誌:
cat -n test.log |tail -n +92|head -n 20
tail -n +92表示查詢92行之後的日誌
head -n 20 則表示在前面的查詢結果里再查前20條記錄
場景2:那麼按日期怎麼查呢? 通常我們非常需要查找指定時間端的日誌
sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p' test.log
特別說明:上面的兩個日期必須是日誌中列印出來的日誌,否則無效.
關於日期列印,可以先 grep '2014-12-17 16:17:20' test.log 來確定日誌中是否有該時間點,以確保第4步可以拿到日誌
這個根據時間段查詢日誌是非常有用的命令.
如果我們查找的日誌很多,列印在屏幕上不方便查看, 有兩個方法:
(1)使用more和less命令, 如: cat -n test.log |grep "地形" |more 這樣就分頁列印了,通過點擊空格鍵翻頁
(2)使用 >xxx.txt 將其保存到文件中,到時可以拉下這個文件分析.如:
cat -n test.log |grep "地形" >xxx.txt
這幾個日誌查看方法應該可以滿足日常需求了.
⑸ Linux伺服器查看日誌的幾種方法
1、進入日誌文件所在的文件目錄,比如:
cd /opt/tomcat7/logs
2、通過命令打開日誌,分析需求場景打開需要的日誌
比如:
tail -f catalina.out
3、常用命令一:tail
比如:
tail -f test.log (循環查看文件內容)
4、按照行號查詢:cat(過濾出關鍵字附近的日誌)
cat -n test.log |grep "訂單號"
然後使用 head -n 20 查看查詢結果里的向前20條記錄
5、按照時間日期查詢,(查詢出一段時間內的記錄)
sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p' test.log
查看該段時間內的日誌
但是前提是用方法4試一下查詢的哪個其實時間是不是存在
⑹ 如何查看linux系統下的各種日誌文件
日誌作為普通的文本文件存儲在磁碟中,因此可以通過查看文件的命令來查看日誌。比如:通過tail命令查看日誌的最後10行,通過head命令查看命令的開頭10行。日誌文件的默認存儲路徑是:/var/log下面是幾個重要的日誌文件:/var/log/messages:包括整體系統信息,其中也包含系統啟動期間的日誌。此外,還包括mail,cron,daemon,kern和auth等內容。/var/log/syslog:它和/etc/log/messages日誌文件不同,它只記錄警告信息,常常是系統出問題的信息。/var/log/user.log:記錄所有等級用戶信息的日誌。/var/log/auth.log:包含系統授權信息,包括用戶登錄和使用的許可權機制等。要查看最新的10條系統消息就可以使用命令:tail/var/log/messages
⑺ `linux的登錄日誌怎麼查看
1、linux下登錄日誌記錄在:/var/log目錄里的secure文件。
查看ssh用戶的登錄日誌命令:cd/var/log &&moresecure
上圖中可以看到,用戶在11:05:57和12:24:33進行了兩次登錄。
2、使用last命令,可以列出目前與過去登錄系統的用戶相關信息。這是一個功能很強大的命令。
語法:last [-R] [-num] [ -n num ] [-adiowx] [ -f file ] [ -t YYYYMMDDHHMMSS ] [name...] [tty...]
例子:last -x :顯示系統關閉、用戶登錄和退出的歷史
last -i:顯示特定ip登錄的情況
last -t 20150303120101:顯示20150303120101之前的登錄信息
⑻ linux伺服器中怎麼查看日誌內容
登錄
kbkiss
Linux查看日誌常用命令
1.查看日誌常用命令
tail:
-n 是顯示行號;相當於nl命令;例子如下:
tail -100f test.log 實時監控100行日誌
tail -n 10 test.log 查詢日誌尾部最後10行的日誌;
tail -n +10 test.log 查詢10行之後的所有日誌;
head:
跟tail是相反的,tail是看後多少行日誌;例子如下:
head -n 10 test.log 查詢日誌文件中的頭10行日誌;
head -n -10 test.log 查詢日誌文件除了最後10行的其他所有日誌;
cat:
tac是倒序查看,是cat單詞反寫;例子如下:
cat -n test.log |grep "debug" 查詢關鍵字的日誌
2. 應用場景一:按行號查看---過濾出關鍵字附近的日誌
1)cat -n test.log |grep "debug" 得到關鍵日誌的行號
2)cat -n test.log |tail -n +92|head -n 20 選擇關鍵字所在的中間一行. 然後查看這個關鍵字前10行和後10行的日誌:
tail -n +92表示查詢92行之後的日誌
head -n 20 則表示在前面的查詢結果里再查前20條記錄
3. 應用場景二:根據日期查詢日誌
sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p' test.log
特別說明:上面的兩個日期必須是日誌中列印出來的日誌,否則無效;
先 grep '2014-12-17 16:17:20' test.log 來確定日誌中是否有該 時間點
4.應用場景三:日誌內容特別多,列印在屏幕上不方便查看
(1)使用more和less命令,
如: cat -n test.log |grep "debug" |more 這樣就分頁列印了,通過點擊空格鍵翻頁
(2)使用 >xxx.txt 將其保存到文件中,到時可以拉下這個文件分析
如:cat -n test.log |grep "debug" >debug.txt
⑼ 如何查看Linux日誌
/var/log
這是Linux系統上一個至關重要的文件夾。打開終端窗口,執行命令cd /var/log。現在執行命令ls,你就會看到位於該目錄下面的日誌。
使用less查看日誌
/var/log裡麵包含有最重要的日誌之一是syslog。這個特殊的日誌文件記錄下了除驗證相關消息之外的一切信息。假設你想查看這一個日誌文件的內容,可以迅速執行命令less /var/log/syslog。
使用dmesg查看日誌
dmesg命令輸出內核環緩沖區。默認情況下,該命令會顯示來自內核環緩沖區的所有信息。從終端窗口,執行命令dmesg,整個內核環緩沖區的內容就會輸出顯示。
⑽ 查看linux系統日誌的命令
Linux系統日誌文件存放在/var/log下
/var/log/cron 記錄了系統定時任務相關的日誌;
/var/log/cups 記錄列印信息的日誌;
/var/log/dmesg 記錄了系統在開機時內核自檢的信息,也可以使用dmesg命令直接查看內核自檢信息。
/var/log/btmp 記錄錯誤登錄的日誌,這個文件是二進制文件,不能直接vi查看,而要使用lastb命令查看;
/var/log/lastlog 記錄系統中所有用戶最後一次的登錄時間的日誌。這個文件也是二進制文件,不能直接vi,而要使用lastlog命令查看。
/var/log/mailog 記錄郵件信息;
/var/log/message 記錄系統重要信息的日誌,記錄Linux系統的絕大多數重要信息,如果系統出現問題,首先要檢查的就是應該是這個日誌文件;
/var/log/secure 記錄驗證和授權方面的信息,只要涉及賬戶和密碼的程序都會記錄。比如說系統的登錄,ssh的登錄,su切換用戶,sudo授權,甚至添加用戶和修改用戶密碼;
/var/log/wtmp 永久記錄所有用戶的登錄、注銷信息,同時記錄系統的啟動、重啟、關機事件。同樣這個文件也是一個二進制文件不能直接vi而需要使用last命令來查看;
/var/run/utmp 記錄當前已經登錄的用戶的信息。這個文件會隨著用戶的登錄和注銷而不斷變化,只記錄當前登錄用戶的信息,同樣這個文件不能直接vi,要使用w,who,users等命令;