如何查看配置Ubuntu和Centos的系统日志

wzw19850628
1 ℃
2020-03-13

整理文档很辛苦，赏杯茶钱您下走！

还剩 ... 页未读，继续阅读 >>

免费阅读已结束，点击下载阅读编辑剩下 ... 页

阅读已结束，您可以下载文档离线阅读编辑

资源描述

如何查看配置Ubuntu和Centos的系统日志内容来源于PPPCloud官网教程介绍Linux系统管理员经常需要查看日志文件用于故障诊断。事实上,这是任何系统管理员都将做的第一件事。在本教程中,我们将看看Linux日志记录机制。默认文件位置默认的日志文件位置：在Linux默认位置是/var/log日志文件。您可以用一个简单的ls-l/var/log命令查看日志文件的目录列表。[root@TestLinux~]/#ls-l/var/log查看文档内容下面是一些常见的日志文件,他们都在默认的log路径下面•wtmp•utmp•dmesg•messages•maillogormail.log•spooler•auth.logorsecurewtmp和utmp文件跟踪用户登录的系统。你不能直接读取这些文件的内容，必须使用特定的命令。下面我们将使用一些命令做演示。去看谁最近登录了本机器，下面有个centos执行的例子。[root@TestLinux~]/#whoroottty12013-12-0910:44rootpts/02013-12-0910:29(10.0.2.2)sysadminpts/12013-12-0910:31(10.0.2.2)joeblogpts/22013-12-0910:39(10.0.2.2)最后一个命令告诉我们登录用户的历史:[root@TestLinux~]/#last|grepsysadminsysadminpts/110.0.2.2MonDec910:31stillloggedinsysadminpts/010.0.2.2FriNov2915:42-crash(00:01)sysadminpts/010.0.2.2ThuNov2817:06-17:13(00:06)sysadminpts/010.0.2.2ThuNov2816:17-17:05(00:48)sysadminpts/010.0.2.2ThuNov2809:29-crash(06:04)sysadminpts/010.0.2.2WedNov2716:37-down(00:29)sysadmintty1WedNov2714:05-down(00:36)sysadmintty1WedNov2713:49-14:04(00:15)在这个例子中，我试图找到登录用户sysadmin的历史，我们发现有2个实例是系统崩溃。如果想要找到重启的历史，可以运行以下命令。[root@TestLinux~]/#lastrebootTheresultmaylooklikethisrebootsystemboot2.6.32-358.el6.xMonDec910:27-10:47(00:19)rebootsystemboot2.6.32-358.el6.xFriDec616:37-10:47(2+18:10)rebootsystemboot2.6.32-358.el6.xFriDec616:28-16:36(00:08)rebootsystemboot2.6.32-358.el6.xFriDec611:06-16:36(05:29)rebootsystemboot2.6.32-358.el6.xMonDec217:00-16:36(3+23:36)rebootsystemboot2.6.32-358.el6.xFriNov2916:01-16:36(7+00:34)rebootsystemboot2.6.32-358.el6.xFriNov2915:43-16:36(7+00:53)......wtmpbeginsFriNov1516:11:542013去查看最后使用系统使用lastlog的历史日志[root@TestLinux~]/#lastlogInmysystem,theoutputlookedlikethis:UsernamePortFromLatestroottty1MonDec910:44:30+11002013bin**Neverloggedin**daemon**Neverloggedin**adm**Neverloggedin**lp**Neverloggedin**sync**Neverloggedin**shutdown**Neverloggedin**halt**Neverloggedin**mail**Neverloggedin**uucp**Neverloggedin**operator**Neverloggedin**games**Neverloggedin**gopher**Neverloggedin**ftp**Neverloggedin**nobody**Neverloggedin**vcsa**Neverloggedin**saslauth**Neverloggedin**postfix**Neverloggedin**sshd**Neverloggedin**sysadminpts/110.0.2.2MonDec910:31:50+11002013dbus**Neverloggedin**joeblogpts/210.0.2.2MonDec910:39:24+11002013对于其他一些日志文件，我们可以通过head和tail命令去获取想要的内容。如下面的例子，我可以的到日志的最后10行。debian@debian:~$sudotail/var/log/messages输出Dec1601:21:08debiankernel:[9.584074]Bluetooth:BNEP(EthernetEmulation)ver1.3Dec1601:21:08debiankernel:[9.584074]Bluetooth:BNEPfilters:protocolmulticastDec1601:21:08debiankernel:[9.648220]BridgefirewallingregisteredDec1601:21:08debiankernel:[9.696728]Bluetooth:SCO(VoiceLink)ver0.6Dec1601:21:08debiankernel:[9.696728]Bluetooth:SCOsocketlayerinitializedDec1601:21:08debiankernel:[9.832215]lp:driverloadedbutnodevicesfoundDec1601:21:08debiankernel:[9.868897]ppdev:user-spaceparallelportdriverDec1601:21:11debiankernel:[12.748833][drm]Initializeddrm1.1.020060810Dec1601:21:11debiankernel:[12.754412]pci0000:00:02.0:PCIINTA-Link[LNKB]-GSI11(level,low)-IRQ11Dec1601:21:11debiankernel:[12.754412][drm]Initializedvboxvideo1.0.020090303for0000:00:02.Syslog守护进程日志的核心机制是rsyslog守护进程，这个服务负责各个部分的的日志信息的收集和传递。它还可以日志消息转发到另一个Linux服务器。rsyslog配置文件此守护进程会从rsyslog.conf文件获取配置信息，这个文件一般默认在/etc下面。这个配置文件会告诉rsylog守护进程哪里去存储日志。这里是一个CentOSrsyslog摘录。配置文件:/#rsyslogv5configurationfile....../#Includeallconfigfilesin/etc/rsyslog.d/IncludeConfig/etc/rsyslog.d/*.conf/#/#/#/#RULES/#/#/#/#/#Logallkernelmessagestotheconsole./#Loggingmuchelsecluttersupthescreen./#kern.*/dev/console/#Loganything(exceptmail)oflevelinfoorhigher./#Don'tlogprivateauthenticationmessages!*.info;mail.none;authpriv.none;cron.none/var/log/messages/#Theauthprivfilehasrestrictedaccess.authpriv.*/var/log/secure/#Logallthemailmessagesinoneplace.mail.*-/var/log/maillog/#Logcronstuffcron.*/var/log/cron/#Everybodygetsemergencymessages*.emerg*/#Savenewserrorsoflevelcritandhigherinaspecialfile.uucp,news.crit/var/log/spooler/#Savebootmessagesalsotoboot.loglocal7.*/var/log/boot.log......要理解其中的含义，让我们来了解下不同设备的类型，下面是一个列表。authorauthpriv:消息来自授权和安全相关的事件kern:来自内核的消息。mail:来自邮件系统的消息cron:cron守护进程相关信息daemon:消息来自守护进程news：消息来自网络新闻子系统lpr：打印相关的日志消息user:日志消息来自用户程序local0local7:留给当地使用这里是升序的优先级列表:•debug:来源于项目的调试信息。••info:简单的信息消息——不需要干预••notice:可能需要关注的条件••warn:警告••err:错误••crit:临界条件••alert:条件是需要立即干预••emerg:紧急情况•现在让我们考虑下面的从文件中取出的行。cron.*/var/log/cron这只是告诉rsyslog守护进程保存来自cron守护进程所有信息于一个名为/var/log/cron.的中，asterix后(*)点(.)意味着消息的优先级将被记录。同样,如果设施被指定为包含星号,它意味着所有的来源。在其默认形式,当只有一个优先级指定点后,这意味着所有事件等于或大于优先级将被困。所以下面的指令引起的任何消息来自邮件子系统警告或更高的优先级被记录在一个特定的文件/var/log下:mail.warn/var/log/mail.warn使用一个等号(=)点在(.)后会导致唯一指定的优先级被记录mail.=info/var/log/mail.info同样,如果我们想从陷阱邮件子系统除了信息消息,该规范将像下面这样mail.!info/var/log/mail.info当一个动作被标记为包含星号(*),这意味着所有用户。在我的CentOSrsyslog这个条目。conf文件是准确地说像下面一样。/#Everybodygetsemergencymessages*.emerg:尝试去看看自己的配置文件表达的意思，下面是我的debian配置文件:/#/etc/rsyslog.confConfigurationfileforrsyslog./#/#Formoreinformationsee/#/usr/share/doc/rsyslog-doc/html/rsyslog_conf.html......auth,authpriv.*/var/log/auth.log*.*;auth,authpriv.none-/var/log/syslog/#cron.*/var/log/cron.logdaemon.*-/var/log/daemon.logkern.*-/var/