认识与分析日志文件

1 什么是日志文件

  1.1 日志文件的重要性

• 解决系统方面的错误
• 解决网路服务的问题
• 过往事件记录簿
  

  1.2 Linux常见的日志文件名

         日志文件可以帮助我们了解很多系统重要的事件，包括登录者的部分信息，因此日志文件的权限通常是设置为仅有root能够读取而已。那么常见的日志文件有那些？

•       /var/log/cron          
  

                   可查看crontab调度是否被执行？进行过程是否发生错误？编写是否正确？

•       /var/log/dmesg       
  

                  记录系统在开机的时候内核检测过程所产生的各项信息。

•       /var/log/lastlog

                  记录系统上面所有的账号最近一次登录系统时的相关信息。

•       /var/log/maillog 或 /var/log/mail/*

                   记录邮件的往来信息

•       /var/log/messages

                   这个文件相当重要，几乎系统发生的错误信息（或者是重要的信息）都会记录在这个文件中；如果系统发生莫名的错误时，这个文件是一定要查阅的日志文件之一。

•       /var/log/secure

                  基本上，只要牵涉到需要输入账号密码的软件，那么当登录时（不管登录正确或错误）都会被记录在此文件中。

•       /var/log/wtmp /var/log/faillog

                  这两个文件可以记录正确登录系统者的账户信息（wtmp）与错误登录时所使用的账户信息（faillog）。

•       /var/log/httpd/*  /var/log/news/*  /var/log/samba/*

                  不同程度的网络服务会使用它们自己的日志文件案来记载它们自己产生的各项信息。

  1.3 日志文件所需相关服务(daemon)与进程

         CentOS提供几种服务来统一管理日志文件：

•          syslogd：主要登录系统与网络等服务的信息；
•          klogd：主要登录内核产生的各项信息；
•          logrotate：主要进行日志文件的轮替功能。
  

2 syslogd:记录日志文件的服务

  2.1 日志文件内容的一般格式

   

 

• 当你觉得系统视乎不太正常时；
• 某个daemon老是无法正常启动时；
• 某个用户老是无法登录时；
• 某个demon执行过程老是不顺畅时；
• 反正觉得系统不太正常就可以查询日志文件。
  

2.2 syslog的配置文件：/etc/syslog.conf

        这个配置文件规定了什么服务的说明等级信息以及需要被记录在哪里（设备或文件）这三个东西。

  2.3 日志文件的安全性设置

       通过chattr +a /var/log/messages可使文件只增加不删除修改，chattr -a 也可取消。注意，当你不小心手动改动日志文件后，例如，你不小心用vi打开文件，离开却执行:wq的参数，那么该文件将来不会再继续进行日志操作。需要重新启动syslog（/etc/init.d/syslog restart）即可。

  2.4 日志文件服务器的设置

       在syslog.conf文件当中，可以将日志数据传送到打印机或者远程主机上面去。

3 日志文件的轮替（logrotate）

  3.1 logrotate的配置文件

•        /etc/logrotate.conf

       主要的参数文件，设置轮替的参数。

      

      那么我们看看默认的logrotate的内容吧！

•       /etc/logrotate.d/

               该配置文件就不细说了。

  3.2 实际测试logrotate的操作

         logrotate [-vf]  logfile

         参数：

          -v：启动显示模式，会显示logrotate运行的过程。

          -f：不论是否符合配置文件的数据，强制每个日志文件都进行rotate的操作。

  3.3 自定义日志文件的轮替功能

        

4 分析日志文件

  4.1 CentOS默认提供的logwatch

         实际上，目前已经有相当多的日志文件分析工具，例如CentOS 5.X上面默认的logwatch这个套件所提供的分析工具，它会每天分析一次日志文件，并且将数据以email的格式寄送给root呢！可直接到logwatch的官网上面看看：

         http://www.logwatch.org/

  4.2 鸟哥自己写的日志文件分析工具

          省略

参考

http://blog.csdn.net/Kevinhanser/article/details/64136559