正如您可能已经猜到的那样,日志文件为Linux操作系统 ,应用程序和服务提供了一个事件时间表。
这些文件以纯文本形式存储以便于阅读。 本指南概述了在何处查找日志文件,突出显示了一些关键日志并说明了如何阅读它们。
你在哪里可以找到Linux日志文件
Linux日志文件通常存储在文件夹/ var / logs中。
该文件夹将包含大量文件,您可以获取每个应用程序的信息。
例如,当ls命令在样本/ var / logs文件夹中运行时,这里有一些可用的日志。
- kern.log
- auth.log
- BOOTSTRAP.LOG
- alternatives.log
- 桑巴
- 杯
- lightdm
该列表中的最后三个是文件夹,但他们在文件夹中有日志文件。
由于日志文件为纯文本格式,因此可以通过键入以下命令来阅读它们:
nano <日志文件名>
以上命令在名为nano的编辑器中打开日志文件。 如果日志文件的大小很小,那么可以在日志文件和编辑器中打开日志文件,但是如果日志文件很大,那么您可能只想读取日志的尾部。
使用tail命令可以读取文件中的最后几行,如下所示:
尾<日志文件名>
您可以指定使用-n开关显示的行数,如下所示:
tail -n <日志文件名>
当然,如果你想看到文件的开始,你可以使用head命令 。
关键系统日志
以下日志文件是Linux中需要注意的主要文件。
- 授权日志
- 守护进程日志
- 调试日志
- 内核日志
- 系统日志
授权日志(auth.log)跟踪使用控制用户访问的授权系统。
守护进程日志(daemon.log)跟踪执行重要任务的后台运行的服务。
守护进程往往没有图形输出。
调试日志为应用程序提供调试输出。
内核日志提供了有关Linux内核的详细信息。
系统日志包含有关系统的大部分信息,如果您的应用程序没有自己的日志,则条目可能会在此日志文件中。
分析日志文件的内容
上图显示了我的系统日志文件(syslog)中最后50个文件的内容。
日志中的每行包含以下信息:
- 日期
- 主机名
- 应用程序/服务
- 信息
例如,我的系统日志文件中的一行如下所示:
jan 20 12:28:56 gary-virtualbox systemd [1]:启动cups scheduler
这告诉你,杯子调度服务已于1月20日开始于12点28分。
旋转日志
日志文件定期轮换,以免它们变得太大。
日志旋转实用程序负责旋转日志文件。 您可以知道日志何时被旋转,因为它后面会跟随一个数字,例如auth.log.1,auth.log.2。
可以通过编辑文件/etc/logrotate.conf来更改日志轮转的频率
以下显示了我的logrotate.conf文件中的示例:
#rotate日志文件
每周
#维护4周的日志文件
旋转4
旋转后创建新的日志文件
创建
正如您所看到的,这些日志文件每周轮换一次,并且在任何时间点都保存四周的日志文件。
当日志文件旋转时,会创建一个新文件。
每个应用程序都可以有自己的旋转策略。 这显然很有用,因为系统日志文件将比杯子日志文件增长得更快。
轮转策略保存在/etc/logrotate.d中。 每个需要自己的旋转策略的应用程序都会在该文件夹中有一个配置文件。
例如,apt工具在logrotate.d文件夹中有一个文件,如下所示:
/var/log/apt/history.log {
旋转12
每月一次
压缩
missingok
notifempty
}
基本上,这个日志告诉你以下内容。 日志将保存12周的日志文件,并每月轮换一次(每月一次)。 日志文件将被压缩。 如果没有消息写入日志(即它是空的),那么这是可以接受的。 如果日志为空,日志将不会旋转。
要修改文件的策略,请使用所需的设置编辑该文件,然后运行以下命令:
logrotate -f