站長資訊網
linux日志文件包含4列內容:1、事件產生的時間;2、產生事件的服務器的主機名;3、產生事件的服務名或程序名;4、事件的具體信息。只要是由日志服務rsyslogd統一管理和記錄的日志文件,它們的格式就都是一樣的,都包含4列供程序員查看分析。
本教程操作環境:linux7.3系統、Dell G3電腦。
日志文件是重要的系統信息文件,其中記錄了許多重要的系統事件,包括用戶的登錄信息、系統的啟動信息、系統的安全信息、郵件相關信息、各種服務相關信息等。這些信息有些非常敏感,所以在 Linux 中這些日志文件只有 root 用戶可以讀取。
Linux 系統日志主要有三種類型:分別是 內核及系統日志、用戶日志、程序日志。
1、內核及系統日志:
這種日志數據由系統服務 rsyslog 統一管理,根據其主配置文件 /etc/rsyslog.conf 中的設置決定將內核消息及各種系統程序消息記錄到什么位置。系統中有相當一部分程序會把日志文件交由 rsyslog 管理,因而這些程序使用的日志記錄也具有相似的格式。
2、用戶日志:
這種日志數據用于記錄 Linux 操作系統用戶登錄及退出系統的相關信息,包括用戶名、登錄的終端、登錄時間、來源主機、正在使用的進程操作等。
3、程序日志:
有些應用程序會選擇由自己獨立管理一份日志文件,用于記錄本程序運行過程中的各種事件信息,而不是交給 rsyslog 服務管理。由于這些程序只負責管理自己的日志文件,因此不同程序所使用的日志記錄格式可能會存在較大的差異。
linux系統日志文件的格式分析
只要是由日志服務 rsyslogd 記錄的日志文件,它們的格式就都是一樣的。所以我們只要了解了日志文件的格式,就可以很輕松地看懂日志文件。
日志文件的格式包含以下 4 列:
-
事件產生的時間。
-
產生事件的服務器的主機名。
-
產生事件的服務名或程序名。
-
事件的具體信息。
我們查看一下 /var/log/secure 日志,這個日志中主要記錄的是用戶驗證和授權方面的信息,更加容易理解。命令如下:
[root@localhost ~]# vi /var/log/secure Jun 5 03:20:46 localhost sshd[1630]:Accepted password for root from 192.168.0.104 port 4229 ssh2 # 6月5日 03:20:46 本地主機 sshd服務產生消息:接收從192.168.0.104主機的4229端口發起的ssh連接的密碼 Jun 5 03:20:46 localhost sshd[1630]:pam_unix(sshd:session):session opened for user root by (uid=0) #時間 本地主機 sshd服務中pam_unix模塊產生消息:打開用戶root的會話(UID為0) Jun 5 03:25:04 localhost useradd[1661]:new group:name=bb, GID=501 #時間 本地主機 useradd命令產生消息:新建立bb組,GID為501 Jun 5 03:25:04 localhost useradd[1661]:new user:name=bb, UID=501, GID=501, home=/home/bb, shell=/bin/bash Jun 5 03:25:09 localhost passwd:pam_unix(passwd:chauthtok):password changed for bb
這里截取了一段日志的內容,注釋了其中的三句日志,剩余的兩句日志大家可以看懂了嗎?其實分析日志既是重要的系統維護工作,也是一項非常枯燥和煩瑣的工作。如果我們的服務器出現了一些問題,比如系統不正常重啟或關機、用戶非正常登錄、服務無法正常使用等,則都應該先查詢日志。
實際上,只要感覺到服務器不是很正常就應該查看日志,甚至在服務器沒有什么問題時也要養成定時查看系統日志的習慣。
