【linux】——日志分析
1. 日志文件
1.1 日志文件的分类
日志文件:
是用于记录Linux系统中各种运行消息的文件,相当于Linux主机的“日记".
日志文件对于诊断和解决系统中的问题很有帮助,系统一旦出现问题时及时分析日志就会“有据可查”。此外。当主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹.
不同的日志文件记载了不同类型的信息。如: Linux内核消息、用户登录记录、程序错误等。
1.2 日志文件保存位置
/var/log/messages :记录linux内核消息及名种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等,对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文中获得相关的事件记录信息。
/var/log/cron :记录crond计划任务产生的事件信息。
/var/log/dmesg :记录linux系统在引导过程中的各种事件信息。
/var/log/maillog :记录进入或发出系统的电子邮件活动。
/var/log/lastlog :记录每个用户最近的登录事件。
/var/log/rpmpkgs :记录系统中安装的各rpm包列表信息。
/var/log/secure :记录用户认证相关的安全事件信息。
/var/log/wtmp :记录每个用户登录、注销及系统启动和停机事件。
/var/run/btmp :记录失败的、错误的登录尝试及验证事件。
内核及系统日志
由rsyslog软件包提供了rsyslogd程序。分别用于记录系统内核的消息和各种应用程序的消息
日志消息的级别
| 级号 | 消息 | 级别 | 说明 |
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题 |
| 2 | CRIT | 严重 | 比较严重的情况 |
| 3 | ERR | 错误 | 运行出现错误 |
| 4 | WARNING | 提醒 | 可能会影响系统功能的事件 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意 |
| 6 | INFO | 信息 | 一般信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等 |
日志记录的一般格式
find [目录名] -mtime +30:查询指定目录下30天以前的文件和目录
