ubuntu系统日志的配置和使用

ubuntu系统日志的配置和使用
原文地址:http://marshal.easymorse.com/archives/1543

在ubuntu服务器上,日志是通过syslogd进程处理的。该进程读取如下配置文件:

/etc/syslog.conf

该文件主要配置哪些信息需要记录日志,记录到什么地方。

在该配置文件的第一部分,是对系统设施日志的配置,主要有:

auth:有关认证进程的信息;
daemo:有关守护进程的信息;
kern:有关系统内核的信息;
mail:有关邮件系统的信息;
其他。。。
比如,可以看到有关守护进程的日志,以下是查看时间服务器守护进程的日志:

sudo cat /var/log/daemon.log | grep ntp

再比如,通过/var/log/kern.log,查看到的信息:

Sep  8 09:28:35 homeserver kernel: [8694475.980021] TCP: Treason uncloaked! Peer 77.227.199.53:53801/20478 shrinks window 2499870467:2499871859. Repaired.

来自西班牙的远程访问,未经服务器允许改变了tcp窗口大小。


第二部分,是日志级别,和log4j的级别概念类似。有:

debug(调试) 与none(不需登录等级);
info:一些基本的信息;
notice:比info需要被注意到的一些信息内容;
warning:警示的讯息,可能有问题, 但是还不至于影响到某个 daemon 运作的信息;基本上, info, notice, warn 这三个讯息都是在告知一些基本信息,应该还不至于造成一些系统运作困扰;
err:一些重大的错误讯息, 例如设定文件的某些设定值造成该服务服法启动的信息说明,通常通过err的错误告知,应该可以了解到该服务无法启动的问题;
crit:比error还要严重的错误信息,这个crit是临界点(critical)的缩写,这个错误已经很严重;
alert:警告,已经很有问题的等级,比crit还要严重;
emerg:紧急,系统已经几乎要当机的状态。很严重的错误信息。通常大概只有硬件出问题,导致整个核心无法顺利运作,就会出现这样的等级的信息。
有关硬件的日志,dmesg。

有关登录错误的日志信息,使用如下命令:

faillog

比如出现这样的提示:

arshal@dev:~$ sudo faillog
[sudo] password for marshal:
Login       Failures Maximum Latest                   On

root            1        0   08/03/09 16:35:41 +0800  tty1

查看即插即用设备的日志:

marshal@dev:~$ sudo tail /var/log/udev -f
ID_FS_USAGE=filesystem
ID_FS_TYPE=ext3
ID_FS_VERSION=1.0
ID_FS_UUID=632c404a-ab69-4aa8-9a13-e6137347dbe9
ID_FS_UUID_ENC=632c404a-ab69-4aa8-9a13-e6137347dbe9
DEVNAME=/dev/sda1
MAJOR=8
MINOR=1
DEVLINKS=/dev/block/8:1 /dev/disk/by-id/scsi-SSEAGATE_ST373207LC_3KT2CZLG-part1 /dev/disk/by-path/pci-0000:02:05.1-scsi-0:0:0:0-part1 /dev/disk/by-uuid/632c404a-ab69-4aa8-9a13-e6137347dbe9

另外,可以通过命令直接写日志信息到文件:
logger ‘中文’

默认情况下,可以在/var/log/syslog或者/var/log/messages文件中找到该日志信息。也可以写入到指定的文件中。

其他有用的日志:

/var/log/apt/term.log,apt操作日志
dd
其他有关日志的命令。

比如查看最后登录用户:

sudo lastlog


你可能感兴趣的:(ubuntu)