linux系統日誌檔包含幾列內容

linux日誌檔案包含4列內容：1、事件產生的時間；2、產生事件的伺服器的主機名稱；3、產生事件的服務名稱或程式名稱；4、事件的具體資訊。只要是由日誌服務rsyslogd統一管理和記錄的日誌文件，它們的格式就都是一樣的，都包含4列供程式設計師查看分析。

本教學操作環境：linux7.3系統、Dell G3電腦。

日誌檔案是重要的系統資訊文件，其中記錄了許多重要的系統事件，包括使用者的登入資訊、系統的啟動資訊、系統的安全資訊、郵件相關資訊、各種服務相關資訊等。這些資訊有些非常敏感，所以在 Linux 中這些日誌檔案只有 root 使用者可以讀取。

Linux 系統日誌主要有三種：分別是 核心及系統日誌、使用者日誌、程式日誌。

1、核心及系統日誌：

這種日誌資料由系統服務rsyslog 統一管理，根據其主設定檔/etc/rsyslog.conf 中的設定決定將內核訊息及各種系統程式訊息記錄到什麼位置。系統中有相當一部分程式會把日誌檔案交給 rsyslog 管理，而這些程式所使用的日誌記錄也有類似的格式。

2、使用者日誌：

這種日誌資料用於記錄Linux 作業系統使用者登入及登出系統的相關信息，包括使用者名稱、登入的終端、登入時間、來源主機、正在使用的進程操作等。

3、程式日誌：

有些應用程式會選擇由自己獨立管理一份日誌文件，用於記錄本程式運行過程中的各種事件信息，而不是交給rsyslog服務管理。由於這些程式只負責管理自己的日誌文件，因此不同程式所使用的日誌記錄格式可能會有較大的差異。

linux系統日誌文件的格式分析

只要是由日誌服務 rsyslogd 記錄的日誌文件，它們的格式就都是一樣的。所以我們只要了解了日誌檔的格式，就可以很輕鬆地看懂日誌檔。

日誌檔案的格式包含以下 4 個欄位：

• 事件產生的時間。

• 產生事件的伺服器的主機名稱。

• 產生事件的服務名稱或程式名稱。

• 事件的具體資訊。

我們查看一下 /var/log/secure 日誌，這個日誌中主要記錄的是使用者驗證和授權方面的信息，更容易理解。指令如下：

[root@localhost ~]# vi /var/log/secure
Jun 5 03：20：46 localhost sshd[1630]：Accepted password for root from 192.168.0.104 port 4229 ssh2
# 6月5日 03：20：46 本地主机 sshd服务产生消息：接收从192.168.0.104主机的4229端口发起的ssh连接的密码
Jun 5 03：20：46 localhost sshd[1630]：pam_unix(sshd：session)：session opened for user root by (uid=0)
#时间 本地主机 sshd服务中pam_unix模块产生消息：打开用户root的会话（UID为0）
Jun 5 03：25：04 localhost useradd[1661]：new group：name=bb， GID=501
#时间 本地主机 useradd命令产生消息：新建立bb组，GID为501
Jun 5 03：25：04 localhost useradd[1661]：new user：name=bb， UID=501， GID=501， home=/home/bb， shell=/bin/bash
Jun 5 03：25：09 localhost passwd：pam_unix(passwd：chauthtok)：password changed for bb

這裡截取了一段日誌的內容，註解了其中的三句日誌，剩餘的兩句日誌大家可以看懂了嗎？其實分析日誌既是重要的系統維護工作，也是非常枯燥、煩瑣的工作。如果我們的伺服器出現了一些問題，例如係統不正常重新啟動或關機、使用者非正常登入、服務無法正常使用等，則都應該先查詢日誌。

實際上，只要感覺到伺服器不是很正常就應該查看日誌，甚至在伺服器沒有什麼問題時也要養成定時查看系統日誌的習慣。

相關推薦：《Linux影片教學》

以上是linux系統日誌檔包含幾列內容的詳細內容。更多資訊請關注PHP中文網其他相關文章！