ubuntu系统日志的配置和使用

ubuntu系统日志的配置和使用

原文地址：http://marshal.easymorse.com/archives/1543

在ubuntu服务器上，日志是通过syslogd进程处理的。该进程读取如下配置文件：

/etc/syslog.conf

该文件主要配置哪些信息需要记录日志，记录到什么地方。

在该配置文件的第一部分，是对系统设施日志的配置，主要有：

auth：有关认证进程的信息；

daemo：有关守护进程的信息；

kern：有关系统内核的信息；

mail：有关邮件系统的信息；

其他。。。

比如，可以看到有关守护进程的日志，以下是查看时间服务器守护进程的日志：

sudocat/var/log/daemon.log|grepntp

再比如，通过/var/log/kern.log，查看到的信息：

Sep809:28:35homeserverkernel:[8694475.980021]TCP:Treasonuncloaked!Peer77.227.199.53:53801/20478shrinkswindow2499870467:2499871859.Repaired.

来自西班牙的远程访问，未经服务器允许改变了tcp窗口大小。

第二部分，是日志级别，和log4j的级别概念类似。有：

debug(调试)与none(不需登录等级)；

info：一些基本的信息；

notice：比info需要被注意到的一些信息内容；

warning：警示的讯息，可能有问题，但是还不至于影响到某个daemon运作的信息；基本上，info,notice,warn这三个讯息都是在告知一些基本信息，应该还不至于造成一些系统运作困扰；

err：一些重大的错误讯息，例如设定文件的某些设定值造成该服务服法启动的信息说明，通常通过err的错误告知，应该可以了解到该服务无法启动的问题；

crit：比error还要严重的错误信息，这个crit是临界点(critical)的缩写，这个错误已经很严重；

alert：警告，已经很有问题的等级，比crit还要严重；

emerg：紧急，系统已经几乎要当机的状态。很严重的错误信息。通常大概只有硬件出问题，导致整个核心无法顺利运作，就会出现这样的等级的信息。

有关硬件的日志，dmesg。

有关登录错误的日志信息，使用如下命令：

faillog

比如出现这样的提示：

arshal@dev:~$sudofaillog

[sudo]passwordformarshal:

LoginFailuresMaximumLatestOn

root1008/03/0916:35:41+0800tty1

查看即插即用设备的日志：

marshal@dev:~$sudotail/var/log/udev-f

ID_FS_USAGE=filesystem

ID_FS_TYPE=ext3

ID_FS_VERSION=1.0

ID_FS_UUID=632c404a-ab69-4aa8-9a13-e6137347dbe9

ID_FS_UUID_ENC=632c404a-ab69-4aa8-9a13-e6137347dbe9

DEVNAME=/dev/sda1

MAJOR=8

MINOR=1

DEVLINKS=/dev/block/8:1/dev/disk/by-id/scsi-SSEAGATE_ST373207LC_3KT2CZLG-part1/dev/disk/by-path/pci-0000:02:05.1-scsi-0:0:0:0-part1/dev/disk/by-uuid/632c404a-ab69-4aa8-9a13-e6137347dbe9

另外，可以通过命令直接写日志信息到文件：

logger‘中文’

默认情况下，可以在/var/log/syslog或者/var/log/messages文件中找到该日志信息。也可以写入到指定的文件中。

其他有用的日志：

/var/log/apt/term.log，apt操作日志

dd

其他有关日志的命令。

比如查看最后登录用户：

sudolastlog