Centos7深入了解文件系统与日志文件（三）日志文件

1、日志文件的功能

日志文件是用于记录Linux系统中各种运行信息的文件，相当于Linux主机的"日记"。不同的日志文件记载了不同类型的信息，如Linux内核消息、用户登录事件、程序错误等。

日志文件对于诊断和解决系统中的问题很有帮助，因为在Linux系统中运行的程序通常会把系统消息和错误消息写入相应的日志文件，这样系统一旦出现问题就会"有据可查"。此外，日志文件还可以帮助寻找访问者留下的痕迹。

2、日志文件的分类

（1）内核及系统日志：

在6以上的系统版本中，这种日志数据由系统服务rsyslog同一管理，根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。

（2）用户日志：

用于记录Linux系统用户登录及退出系统的相关信息，包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。

（3）程序日志：

有些应用程序会选择由自己独立管理一份日志文件，而不是交给rsyslog服务管理，用于记录本程序运行过程中的各种事件信息。

3、日志文件的位置

Linux系统本身和大部分服务器程序的日志文件默认放在/var/log/下。一部分程序共用一个日志文件，一部分程序使用单个日志文件。而有些大型服务器程序日志由于日志文件不止一个，所以会在/var/log/目录中建立相应的子目录来存放日志文件，这样既保证了日志文件目录的结构清晰，又可以快速定位日志文件。

有相当一部分日志只有root用户才有权限读取，这保证了相关日志信息的安全性。

4、常见的日志文件及查看方式

5、日志消息的级别

在Linux内核中，根据日志消息的重要程度不同，将其分为不同的有限级别（数字等级越小，优先级越高，消息越重要）

6、日志文件分析

(1).保存了用户登录，退出系统等相关信息

(2).分析工具

users ：查看可以登录的用户

who，w ：查看在线的用户

last：查看最近登录的用户

lastb：查看最近尝试登录且失败的用户

（3）.由相应的应用程序独立进行管理

(4).分析工具

7.日志管理策略

总的来说，作为一名合格的系统管理人员，应该提高警惕，随时注意各种可疑的状况，定期并随机的检查各种系统日志文件，包括一般信息日志、网络连接日志、文件传输日志及用户登录日志记录等。在检查这些日志时，要注意是否有不合常理的时间或操作记录