linux日誌檔案包含4列內容:1、事件產生的時間;2、產生事件的伺服器的主機名稱;3、產生事件的服務名稱或程式名稱;4、事件的具體資訊。只要是由日誌服務rsyslogd統一管理和記錄的日誌文件,它們的格式就都是一樣的,都包含4列供程式設計師查看分析。
本教學操作環境:linux7.3系統、Dell G3電腦。
日誌檔案是重要的系統資訊文件,其中記錄了許多重要的系統事件,包括使用者的登入資訊、系統的啟動資訊、系統的安全資訊、郵件相關資訊、各種服務相關資訊等。這些資訊有些非常敏感,所以在 Linux 中這些日誌檔案只有 root 使用者可以讀取。
Linux 系統日誌主要有三種:分別是 核心及系統日誌、使用者日誌、程式日誌。
1、核心及系統日誌:
這種日誌資料由系統服務rsyslog 統一管理,根據其主設定檔/etc/rsyslog.conf 中的設定決定將內核訊息及各種系統程式訊息記錄到什麼位置。系統中有相當一部分程式會把日誌檔案交給 rsyslog 管理,而這些程式所使用的日誌記錄也有類似的格式。
2、使用者日誌:
這種日誌資料用於記錄Linux 作業系統使用者登入及登出系統的相關信息,包括使用者名稱、登入的終端、登入時間、來源主機、正在使用的進程操作等。
3、程式日誌:
有些應用程式會選擇由自己獨立管理一份日誌文件,用於記錄本程式運行過程中的各種事件信息,而不是交給rsyslog服務管理。由於這些程式只負責管理自己的日誌文件,因此不同程式所使用的日誌記錄格式可能會有較大的差異。
linux系統日誌文件的格式分析
只要是由日誌服務 rsyslogd 記錄的日誌文件,它們的格式就都是一樣的。所以我們只要了解了日誌檔的格式,就可以很輕鬆地看懂日誌檔。
日誌檔案的格式包含以下 4 個欄位:
事件產生的時間。
產生事件的伺服器的主機名稱。
產生事件的服務名稱或程式名稱。
事件的具體資訊。
我們查看一下 /var/log/secure
日誌,這個日誌中主要記錄的是使用者驗證和授權方面的信息,更容易理解。指令如下:
[root@localhost ~]# vi /var/log/secure Jun 5 03:20:46 localhost sshd[1630]:Accepted password for root from 192.168.0.104 port 4229 ssh2 # 6月5日 03:20:46 本地主机 sshd服务产生消息:接收从192.168.0.104主机的4229端口发起的ssh连接的密码 Jun 5 03:20:46 localhost sshd[1630]:pam_unix(sshd:session):session opened for user root by (uid=0) #时间 本地主机 sshd服务中pam_unix模块产生消息:打开用户root的会话(UID为0) Jun 5 03:25:04 localhost useradd[1661]:new group:name=bb, GID=501 #时间 本地主机 useradd命令产生消息:新建立bb组,GID为501 Jun 5 03:25:04 localhost useradd[1661]:new user:name=bb, UID=501, GID=501, home=/home/bb, shell=/bin/bash Jun 5 03:25:09 localhost passwd:pam_unix(passwd:chauthtok):password changed for bb
這裡截取了一段日誌的內容,註解了其中的三句日誌,剩餘的兩句日誌大家可以看懂了嗎?其實分析日誌既是重要的系統維護工作,也是非常枯燥、煩瑣的工作。如果我們的伺服器出現了一些問題,例如係統不正常重新啟動或關機、使用者非正常登入、服務無法正常使用等,則都應該先查詢日誌。
實際上,只要感覺到伺服器不是很正常就應該查看日誌,甚至在伺服器沒有什麼問題時也要養成定時查看系統日誌的習慣。
相關推薦:《Linux影片教學》
以上是linux系統日誌檔包含幾列內容的詳細內容。更多資訊請關注PHP中文網其他相關文章!