日志文件是用于记录Linux系统中各种运行消息的文件,不同的日志文件记载了不同类型的信息,对于诊断和解决系统中的问题很有帮助
分析日志文件
日志数据主要包括三种类型:内核及系统日志、用户日志、程序日志
#对于大多数的文本格式的日志文件,使用tail、more、less、cat 等命令就可查看日志内容
#对于一些二进制格式的日志文件(如用户日志文件),使用who、w、users、last、lastb等
内核及系统日志的配置文件为 /etc/rsyslog.conf,通过查看文件内容,可以了解到系统默认的日志文件的存储路径
常见的日志文件
/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一
/var/log/dmesg Linux 系统在引导过程中的各种事件信息
/var/log/secure 记录与用户认证相关的安全事件信息
/var/log/lastlog 记录每个用户最近的登陆情况
/var/log/wtmp 记录每个用户登陆、注销、系统启动和停机事件
/var/log/btmp 记录失败的、错误的登陆尝试及验证事件
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息
/var/log/rpmpkgs 记录系统中安装的rpm包列表信息
查看日志文件的命令
cat命令:显示整个文件
-n 或 –number 由 1 开始对所有输出的行数编号
-b 或 –number-nonblank 和 -n 相似,只不过对于空白行不编号
-s 或 –squeeze-blank 当遇到有连续两行以上的空白行,就代换为一行的空白行
-v 或 –show-nonprinting
more命令: 以百分比的形式查看日志
less命令:跟more功能差不多,只不过less支持前后翻阅文件
head命令:从文本文件的头部开始查看,用于查看一个文本文件的开头部分
-n 指定需要显示多少行
tail命令:从文本文件的尾部开始查看,用于显示文本文件的末尾几行
-n 指定需要显示多少行
-f 自动显示新增的文件内容
-n 50 -f 显示文件的后50行内容并在文件内容增加后,自动显示新增的文件内容
最后一条命令非常有用,尤其在监控日志文件时,可以在屏幕上一直显示新增的日志信息
users命令:显示当前登陆的用户名称,每个显示用户名对应一个登陆会话
who命令:显示当前登陆到系统的每个用户信息
w命令:显示当前用户每个用户及其所运行的进程信息
last命令:查询成功登陆到系统的用户信息,最新情况显示在最前面
lastb命令:查询登陆失败的用户记录,如用户名、密码错误都有记录,属于安全事件,也可以从安全日志 /var/log/secure 中查询相关信息
