日志是系统用来记录系统运行时候的一些相关消息的纯文本文件
/var/log下保存着大量的纯文本日志文件
日志的目的是为了保持相关程序的运行状态,错误消息,为了对系统运行进行错误分析使用
1.内核消息
2.服务消息
3.应用程序消息
这篇文章将只涉及日志的保存和记录
rsyslog是旧版syslog的增强
可以通过service rsyslog status查看当前状态
可以通过service rsyslog start/stop/restart控制rsyslog服务
查看日志一般用tail命令查看最后10行(最新)
也可以通过tail -f 实时更新
/etc/rsyslog.conf是rsyslog的配置文件
格式XXX.YYY /var/filename XXX是日志来源 YYY是优先级
例如kern.error /var/kern_error
这条配置将把内核error错误写入指定的文件中
路径前加一个-(减号)将提高写入效率,但是可能造成断电时缓存丢失
例如kern.error -/var/kern_error
也可以将路径写成@192.168.1.1发送到日志服务器一个@表示UDP两个@表示TCP 建议使用TCP
Facility-日志来源
| Facility | 消息来源 |
|---|---|
| kern | 内核消息 |
| user | 用户级消息 |
| 邮件系统消息 | |
| daemon | 内核消息 |
| auth | 认证系统消息 |
| syslog | 日志系统自身消息 |
| lpr | 打印系统消息 |
| authpriv | 权限系统消息消息 |
| cron | 定时任务消息 |
| news | 新闻系统消息 |
| uucp | uucp系统消息 |
| ftp | ftp服务消息 |
Priority/Severity Level
| Emergency | 系统已经不可用 |
| Alert | 必须进行立即处理 |
| Critical | 严重错误 |
| Error | 错误 |
| Warning | 警告 |
| Notice | 正常信息,但较为重要 |
| Informational | 正常信息 |
| Debug | debug信息 |
/var/log下日志文件对应记录消息
| 文件名 | 记录消息 |
|---|---|
| boot.log | 启动消息 |
| secure | 用户切换登录等相关消息 |
| messages | 正常消息 |
| dmesg | 内核消息 |
| messages | 正常消息 |