什么是Linux日志？

日志文件包含有关特定服务或者纯文本中程序的活动的信息，具有时间戳。
例如，如果我们在基于Debian的系统上，我们无疑是使用适用于包管理的APT。
APT有一个日志，其中包含使用APT命令已安装，删除，清除等的所有程序的整个历史记录，其中它发生的时间。

通常，当系统流畅稳定时，我们甚至不需要打扰他们。
当系统有问题时，Linux日志文件会发生在图片中，并且我们必须查看日志文件以进行故障排除。
在另一个情况下，日志文件易于系统管理员。
他们总是需要知道正在发生的事情。

无论我们使用的Linux发行版如何，日志文件都驻留在/var/log /目录中。
在本文中，我们将讨论我们需要了解的最重要的日志文件。

重要的Linux日志文件

1.系统日志

系统日志由操作系统组件直接提交。
这包括设备改变信息，系统改变信息以及一般的整体广谱。

2.事件日志

事件日志包含网络信息，在某些情况下也可以应用程序信息。
有关帐户锁定的信息，在事件日志中包含失败的密码尝试。

3.应用程序日志

应用程序日志包含由特定应用程序创建和生成的日志。

4.内核日志

内核日志是内核直接归档的日志。
它们非常有助于解决内核问题。

定位Linux日志

正如我们之前提到的，无论分发是什么，日志文件始终存储在任何Linux系统上的/var/log目录中。
因此，要查看日志文件，我们首先进入该目录：

cd /var/log/

并查看内容：

ls

正如我们所看到的，有许多关于许多不同程序/服务的日志文件。
该用户只能告诉特定用户的原因是什么，但我们将告诉我们一些最有用的日志文件。

重要的日志

1. syslog或者messages

此日志包含任何系统的一般信息，包括所有通用活动，错误和网络信息的数据日志。
对于任何简单问题，它是Go-to log文件。

在基于Redhat的系统上，它存储在/var/log/messages中。
在基于Debian的系统上，它存储在/var/log/syslog中。

2. auth.log或者secure

这是身份验证日志。
它包括所有登录尝试日志，无论是成功还是不成功。
Logs SystemD的登录(如果发行版具有它)以及我们拥有的任何显示管理器也是如此。

在基于Redhat的系统上，它存储在/var/log/secure中。
在基于Debian的系统上，它存储在/var/log/auth.log中。

3. Kern.log.

这是内核日志。
对大多数用户来说可能没有用，但它是一个关键的日志。
它记录所有内核活动，包括硬件交互，启动时硬件初始化，以及系统调用。

它是在所有分布的/var/log/kern.log中找到的。

4. boot.log.

引导日志包含在系统引导时记录的消息。
在此处记录启动脚本中继的消息。
主要是，如果在引导过程中存在未计划的关机或者重启或者重启或者某些异常的问题，则引用日志以查看正在发生的内容。

5.faillog

这是一个有趣的。
它包含失败登录尝试的日志。
它特别有助于安全目的，因为登录是系统上做任何事物的第一步。
使用连续登录之间的时间间隙可以轻松检测到登录蛮力攻击。

它是在所有分布上的/var/log/faillog

6. apport.log(仅在基于Ubuntu的系统上)

经常发现当申请崩溃时，没有物质。
它没有特定的日志文件，也没有记录在任何其他日志中。
为了解决它，Ubuntu提出了apport.log。
程序崩溃时，它会在Apport.log文件中记录。
在这里查找更多信息。

它是在基于Ubuntu的系统上的"/var/log/apport.log"。

7.包管理器日志

这是一个有用的日志，即使是休闲用户。
它是系统或者专门用户使用的包装管理器的记录(可能是多个)。
在日志中记录安装，删除，清除程序清除。

基于Debian的系统

Debian的系统使用APT包管理，其中的日志在目录/var/log/apt中。
通常存在两个日志文件：

History.log：它记录了Pack Management的历史，通过简单的格式化方式完成。

term.log：它以任何形式使用APT命令时录制终端中所示的精确输出。

Debian Systems还将DPKG管理用于DEB文件，因此它也有一个日志。
它可以在/var/log/dpkg.log中找到。

Redhat系统

Redhat系统默认使用DNF包管理系统。
可以在DNF日志中找到与封装有关的安装，删除和其他任务。
它位于/var/log/dnf.log。

8. mysqld.log或者mysql.log

从这里开始的日志有点了解核心用户。
MySQL是用户经常使用的服务。
他们可能是系统管理员，维护者，或者可以使用MySQL进行个人用途。
作为如此有价值的服务，它必须具有专用日志文件。
在此记录所有成功，失败或者调试消息。

在基于Redhat的系统上，它存储在/var/log/mysqld.log中。
在基于Debian的系统上，它存储在/var/log/mysql.log中。

httpd.

此目录包含系统上Apache服务器的日志。
它通常有两个文件，-error_log和access_log，哪个存储指示只有文件名的信息。

我们可以在所有发行版上以/var/log/httpd /找到它。

mail.log.

系统和命令行集成的电子邮件服务在几年前广泛使用。
通过名称本身清除Mail.log包含使用此类电子邮件服务的日志。

我们可以在/var/log/mail.log找到它。

阅读日志

1. CLI.

现在我们最终可以达到重要的一点，这是阅读这些日志。
有各种方法可以其中，并且其中需要阅读日志。
例如，如果我们只想看到日志文件的结束部分(要了解最新的活动)，我们可以使用尾部命令。
该命令仅打印文件的最后10行。

例子：

sudo tail /var/log/syslog

另一方面，如果要浏览整个文件并搜索物品，则可以使用臭名昭着的命令。
我们可以使用向上和向下键浏览文件。
要搜索，请按"/"键，然后输入确切的搜索字词。
应突出显示搜索的术语。
例子：

sudo less /var/log/syslog

2.Glogg

有几个图形程序可以帮助用户在系统上读取日志文件。
今天，我们将看看"Glogg"。

Glogg是一个具有简单界面的日志查看程序。
官方将其描述为较少和Grep命令的组合。
我们可以打开Glogg，然后使用左上方提供的按钮打开日志文件以打开日志文件。

我们建议替代方式，它正在从命令行启动Glogg，以及日志文件的位置。
这使得更容易打开日志文件。
该命令看起来像：

sudo glogg /var/log/syslog &

用户界面

日志显示在主窗口中。
底部有一个搜索框，我们可以其中搜索我们正在寻找的术语。
右侧还有一个频段，显示搜索到日志文件中搜索术语在日志中显示的频率。

安装

它可以在Debian和基于Ubuntu的系统上轻松安装：

sudo apt install glogg

在Fedora/CentOS的系统：

sudo dnf install glogg

我们可以在此处找到安装的其他帮助。

添加信息

我们应该了解日志文件的一些更关键的信息。

日志旋转

日志文件定期"旋转"。
这意味着当日志文件具有某些存储限制或者基于时间的约束时，定期创建新版本的日志文件。
如果我们发出命令：

ls /var/log/

我们可能会看到几个文件在结束时除了".1"或者".1"或者".2.2.gz"之外的名称具有相同的名称。
这些只是同一文件的较旧版本。
可以配置日志旋转的条件。
我们可以使用该命令找到配置文件：

cd /etc/logrotate.d/

ls

不同命名的文件是相应的日志配置。

这可以简单地编辑以更改各个日志文件的配置。

rsyslog.

rsyslog是负责首先创建日志文件的服务。
它的配置文件可在/etc/rsyslog.conf和directory /etc/rsyslog.d中获得。
类似于日志旋转，我们可以配置这些文件以满足需求。