深入理解Linux文件(二)------日志文件

日志的功能

用于记录系统、程序运行中发生的各种事件
通过阅读日志，有助于诊断和解决系统故障

日志文件的分类

内核及系统日志：
由系统服务syslog统一 进行管理，日志格式基本相似

用户日志：
记录系统用户登录及退出系统的相关信息
程序日志：
由各种应用程序独立管理的日志文件，记录格式不统一

日志保存位置

默认位于：/var/log目录下

主要日志文件

日志消息的级别

用户日志文件

在 wtmp、btmp、lastlog 等日志文件中，保存了系统用户登录、退出等相关的事件消息。但是这些文件都是二进制的数据文件，不能直接使用 tail、less 等文本查看工具进行浏览，需要使用 who、w、users、last 和 lastb 等用户查询命令来获取日志信息。
(1)--查询当前用户登录的用户情况--users、users、w命令

users：简单的输出当前登录的用户名称，每个显示的用户名对应一个登录会话

who：用于报告当前登录系统中的每个用户信息

w：用于显示当前系统中的每个用户及其所运行的进程信息，比users、who命令输出内容更加丰富一些

(2)查询用户登录的历史记录--last、lastb命令

lastb：用于查询登录失败的用户记录，如登录的用户名错误、密码不正确等情况都将记录在案

last：用于查询成功登录到系统的用户记录，最近的登录情况将显示在最前面

程序日志

在 Linux 操作系统中，还有相当一部分应用程序没有使用 rsyslog 服务来管理日志，而是由程序自己维护日志记录。例如，httpd 网站服务程序使用两个日志文件 access_log 和 error_log 分别记录客户访问事件和错误事件。