Linux系統的日誌分析

處理linux系統出現的各種故障時，故障的症狀是最先發現的，而導致這以故障的原因才是最終排除故障的關鍵。熟悉linux系統的日誌管理，了解常見故障的分析與解決辦法，將有助於管理員快速定位故障點，「對症下藥」及時解決各種系統問題。

一、主要日誌檔案包括以下三種型別：

a.核心及系統日誌：這種日誌資料由系統服務syslog統一管理，根據其主配置檔案"/etc/syslog.conf"中的設定決定將核心訊息及各種系統程式訊息記錄到什麼位置。系統中有相當一部分程式會把自己的日誌檔案交由syslog管理，因而這些程式使用的日誌記錄也具有相似的格式。

b.使用者日誌：這種日誌資料用於記錄linux系統使用者登入及退出系統的相關資訊，包括使用者名稱、登入的終端、登入時間、**主機、正在使用的程序操作等。

c.程式日誌：有些應用程式運會選擇自己來獨立管理乙份日誌檔案（而不是交給syslog服務管理），用於記錄本程式執行過程中的各種事件資訊。由於這些程式只負責管理自己的日誌檔案，因此不同的程式所使用的日誌記錄格式可能會存在極大差異。

#列表檢視"/var/log"目錄中的各種日誌檔案及子目錄。

對於linux系統中的一些常見日誌檔案，有必要熟悉其相應的用途，這樣才能在需要的時候更快地找到問題所在，及時解決各種故障。如：

1. >/var/log/messages：記錄linux核心訊息及各種應用程式的公共日誌資訊，包括啟動、io錯誤、網路錯誤、程式故障等。對於未使用獨立日誌檔案的應用程式或服務，一般都可以從該檔案獲得相關的事件記錄資訊。

2. >/var/log/cron：記錄crond計畫任務產生的事件訊息。

3. >/varlog/dmesg：記錄linux系統在引導過程中的各種事件資訊。

4. >/var/log/maillog：記錄進入或發出系統的電子郵件活動。

5. >/var/log/lastlog：最近幾次成功登入事件和最後一次不成功登入事件。

6. >/var/log/rpmpkgs：記錄系統中安裝各rpm包列表資訊。

7. >/var/log/secure：記錄使用者登入認證過程中的事件資訊。

8. >/var/log/wtmp：記錄每個使用者登入、登出及系統啟動和停機事件。

9. >/var/log/utmp：記錄當前登入的每個使用者的詳細資訊

二、日誌檔案分析

熟悉了系統中的主要日誌，我們就針對日誌檔案的分析方法做了解。分析日誌檔案的目地在於通過瀏覽日誌查詢關鍵資訊，對系統服務進行除錯，判斷發生故障的原因等。這裡主要說三類日誌檔案的基本格式和分析方法。

對於大多數文字格式的日誌格式（如核心及系統日誌、大多數的程式日誌），只要使用tail、more、less、cat等文字處理工具就可以檢視日誌內容。而對於一些二進位制格式的日誌檔案（eg：使用者日誌），則需要使用相應的查詢命令。

1.核心及系統日誌：

核心及系統日誌功能主要由預設安裝的syslogd-1.4.1-39.2軟體包提供，該軟體包安裝了klogd、syslogd兩個程式，並通過syslog服務進行控制，分別用於記錄系統核心的訊息和各種應用程式的訊息。syslog服務所使用的配置檔案為"/etc/syslog.conf"。

通常情況下，核心及大多數系統訊息都被記錄到公共日誌檔案"/var/log/messages"中，而其他一些程式訊息被記錄到不同的檔案中，日誌訊息還能夠記錄到特定的儲存裝置中，或者直接向使用者傳送。

###檢視日誌配置檔案"/etc/syslog.conf'中的內容