如何更好地使用Linux日志

Linux上的日志文件可以提供有关系统上发生的事情的大量有用信息。 以下命令可以帮助您对数据进行排序并查明问题。

Linux系统维护相当多的日志文件,其中许多您可能很少想要查看。不过,其中一些日志文件非常有价值,探索它们的选项可能比您想象的更有趣、更多样化。让我们看看一些系统日志,并了解一些更容易探测日志数据的方法。

日志文件轮换

首先,存在日志轮换的问题。一些Linux日志文件是“rotated”。换句话说,系统存储这些文件的多个“generation”,主要是为了防止它们使用太多的磁盘空间。然后压缩较旧的日志,但保留一段时间。最终,一系列旋转日志文件中最早的日志文件将在日志轮换过程中自动删除,但您仍然可以访问许多较旧的日志,以便您可以检查过去几天添加的日志条目或几周,如果您需要进一步回顾一些您正在追踪的问题。

要了解要保存的系统信息类型,只需转到 /var/log目录并列出其内容即可。

[linuxidc@localhost ~]$ cd /var/log
[linuxidc@localhost log]$ ls
anaconda  dmesg.old          mariadb  secure                  wtmp
audit    firewalld          messages  speech-dispatcher      Xorg.0.log
boot.log  gdm                pluto    spooler                Xorg.0.log.old
btmp      glusterfs          ppp      tallylog                Xorg.9.log
chrony    grubby_prune_debug  qemu-ga  tuned                  yum.log
cron      lastlog            rhsm      vmware-vgauthsvc.log.0
cups      libvirt            sa        vmware-vmsvc.log
dmesg    maillog            samba    wpa_supplicant.log
[linuxidc@localhost log]$

如何更好地使用Linux日志

这是相当大的日志和日志目录集合 - 在这种情况下是/var/log中的37个文件和目录,但是当您在这些目录中包含文件时有44个文件。

[linuxidc@localhost ~]$ su -
密码:
上一次登录:三 10月 17 22:25:40 CST 2018pts/1 上
[root@localhost ~]# cd /var/log
[root@localhost log]# ls | wc -l
37
[root@localhost log]# find . -type f -print | wc -l
44
[root@localhost log]#

如何更好地使用Linux日志

检查日志文件时,您将清楚地看到哪些是同一基本日志的生成。 例如,其中一个主日志文件(syslog文件)分为九个单独的文件。 这些代表了基本上一周的历史数据以及当前文件。 大多数旧文件都是压缩文件以保留空间。

$ ls -l syslog*
-rw-r----- 1 syslog adm 558528 Oct 16 21:12 syslog
-rw-r----- 1 syslog adm 512815 Oct 16 00:09 syslog.1
-rw-r----- 1 syslog adm  31205 Oct 15 00:06 syslog.2.gz
-rw-r----- 1 syslog adm  33797 Oct 12 00:22 syslog.3.gz
-rw-r----- 1 syslog adm  61107 Oct 12 00:18 syslog.4.gz
-rw-r----- 1 syslog adm  35682 Oct 12 00:16 syslog.5.gz
-rw-r----- 1 syslog adm  32003 Oct 11 00:07 syslog.6.gz
-rw-r----- 1 syslog adm  32319 Oct  9 00:15 syslog.7.gz

syslog文件包含来自许多不同系统服务的消息--cron,sendmail和内核本身就是例子。 您还将看到用户会话和cron(计划任务)的证据。

多年来,大多数Linux系统不再使用旧消息和dmesg文件作为大部分系统消息的登陆位置。 相反,可以使用各种各样的文件和一些特殊命令来帮助显示可能与您要查找的内容最相关的日志信息。

根据所讨论的文件,您可能只使用more或tail命令,或者您可能使用特定于文件的命令,例如使用who命令从wtmp日志中提取用户登录数据。

[linuxidc@localhost ~]$ cd /var/log
[linuxidc@localhost log]$ who wtmp
linuxidc :0          2018-10-17 18:44 (:0)
linuxidc :0          2018-10-17 19:00 (:0)
linuxidc pts/0        2018-10-17 19:10 (:0)
linuxidc pts/0        2018-10-17 19:20 (:0)
linuxidc pts/1        2018-10-17 19:22 (:0)
linuxidc pts/0        2018-10-17 19:25 (:0)
linuxidc pts/0        2018-10-17 19:25 (:0)
linuxidc pts/1        2018-10-17 19:27 (:0)
linuxidc pts/2        2018-10-17 19:27 (:0)
linuxidc pts/0        2018-10-17 19:33 (:0)
linuxidc pts/0        2018-10-17 19:53 (:0)
linuxidc pts/0        2018-10-17 19:56 (:0)
linuxidc pts/0        2018-10-17 19:56 (:0)
linuxidc pts/0        2018-10-17 22:15 (:0)
linuxidc pts/1        2018-10-17 22:18 (:0)
linuxidc pts/1        2018-10-17 22:19 (:0)
linuxidc pts/1        2018-10-17 22:24 (:0)
linuxidc pts/2        2018-10-17 22:24 (:0)
linuxidc pts/1        2018-10-17 22:24 (:0)
linuxidc pts/0        2018-10-17 22:38 (:0)
linuxidc pts/0        2018-10-17 22:39 (:0)
linuxidc pts/0        2018-10-17 22:45 (:0)
linuxidc pts/1        2018-10-17 22:46 (:0)
[linuxidc@localhost log]$

如何更好地使用Linux日志

类似地,当你运行tail faillog命令时,你可能什么也看不见,但是这样的命令显示它只是满是0:

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:https://www.heiqu.com/12412.html