ubuntu系统日志的配置和使用
xtpebg 2012-09-27
ubuntu系统日志的配置和使用
原文地址:http://marshal.easymorse.com/archives/1543
在ubuntu服务器上,日志是通过syslogd进程处理的。该进程读取如下配置文件:
/etc/syslog.conf
该文件主要配置哪些信息需要记录日志,记录到什么地方。
在该配置文件的第一部分,是对系统设施日志的配置,主要有:
auth:有关认证进程的信息;
daemo:有关守护进程的信息;
kern:有关系统内核的信息;
mail:有关邮件系统的信息;
其他。。。
比如,可以看到有关守护进程的日志,以下是查看时间服务器守护进程的日志:
sudocat/var/log/daemon.log|grepntp
再比如,通过/var/log/kern.log,查看到的信息:
Sep809:28:35homeserverkernel:[8694475.980021]TCP:Treasonuncloaked!Peer77.227.199.53:53801/20478shrinkswindow2499870467:2499871859.Repaired.
来自西班牙的远程访问,未经服务器允许改变了tcp窗口大小。
第二部分,是日志级别,和log4j的级别概念类似。有:
debug(调试)与none(不需登录等级);
info:一些基本的信息;
notice:比info需要被注意到的一些信息内容;
warning:警示的讯息,可能有问题,但是还不至于影响到某个daemon运作的信息;基本上,info,notice,warn这三个讯息都是在告知一些基本信息,应该还不至于造成一些系统运作困扰;
err:一些重大的错误讯息,例如设定文件的某些设定值造成该服务服法启动的信息说明,通常通过err的错误告知,应该可以了解到该服务无法启动的问题;
crit:比error还要严重的错误信息,这个crit是临界点(critical)的缩写,这个错误已经很严重;
alert:警告,已经很有问题的等级,比crit还要严重;
emerg:紧急,系统已经几乎要当机的状态。很严重的错误信息。通常大概只有硬件出问题,导致整个核心无法顺利运作,就会出现这样的等级的信息。
有关硬件的日志,dmesg。
有关登录错误的日志信息,使用如下命令:
faillog
比如出现这样的提示:
arshal@dev:~$sudofaillog
[sudo]passwordformarshal:
LoginFailuresMaximumLatestOn
root1008/03/0916:35:41+0800tty1
查看即插即用设备的日志:
marshal@dev:~$sudotail/var/log/udev-f
ID_FS_USAGE=filesystem
ID_FS_TYPE=ext3
ID_FS_VERSION=1.0
ID_FS_UUID=632c404a-ab69-4aa8-9a13-e6137347dbe9
ID_FS_UUID_ENC=632c404a-ab69-4aa8-9a13-e6137347dbe9
DEVNAME=/dev/sda1
MAJOR=8
MINOR=1
DEVLINKS=/dev/block/8:1/dev/disk/by-id/scsi-SSEAGATE_ST373207LC_3KT2CZLG-part1/dev/disk/by-path/pci-0000:02:05.1-scsi-0:0:0:0-part1/dev/disk/by-uuid/632c404a-ab69-4aa8-9a13-e6137347dbe9
另外,可以通过命令直接写日志信息到文件:
logger‘中文’
默认情况下,可以在/var/log/syslog或者/var/log/messages文件中找到该日志信息。也可以写入到指定的文件中。
其他有用的日志:
/var/log/apt/term.log,apt操作日志
dd
其他有关日志的命令。
比如查看最后登录用户:
sudolastlog
