1、日志文件:记录系统在什么时候由哪个进程做了什么样的操作,发生了何种的事件。即记录“一个事件的when、where、who、what”.。
2、日志文件信息:(1)事件发生的日期与事件(2)发生此事的主机名(3)启动此次事件的服务(systemd、crond)或命令与函数名称(sudo、login)、(4)该信息实际内容。
3、信息等级--由轻到重:(1)debug:除错时产生的数据(2)info:基本信息的说明(3)notice:正常信息(4)warning:警告信息。info/notice/warnning这三个信息等级都是在
告知一些基本信息而已。(5)error:一些重大错误(6)critical:严重的错误信息(7):alert:很有问题的等级(8)emerg:疼痛等级
4、信息等级之前的连接符:(1)"."--比后面还要严重的等级(含该等级)都被记录下来。如:mail.info---只要是mail的信息,而且该信息等级严重于info(含Info)时就会被记录下来。
(2)“.="--代表所需要的等级就是后面所接的等级。(3)".!"---代表不等于。
5、systemd-journald.service:记录此次开机后登录信息,使用内存的日志文件记录。
(1)journalctl --since today -n 10----记录今天最新10条日志
(2)logger命令的使用:logger -p 服务名称.等级 ”信息“。让你的数据存储到日志文件。
6、分析日志文件---logwatch
7、日志轮询--logrotate