【译】Linux /var/log目录下的20个日志文件

　　本文译自linux-var-log-files，作为个人备忘。

　　如果您在Linux环境中花费大量时间，则必须知道日志文件的位置以及每个日志文件中包含的内容。

　　当系统运行平稳时，请花一些时间来学习和理解各种日志文件的内容，这将在出现危机时为您提供帮助，并且您必须查看日志文件以找出问题所在。

　　/etc/rsyslog.conf控制某些日志文件中的内容。 例如，以下是rsyslog.conf中/var/log/messages的条目。

$ grep "/var/log/messages" /etc/rsyslog.conf
*.info;mail.none;authpriv.none;cron.none                /var/log/messages

　　在上面的输出中，

• * .info表示将记录所有类型为INFO的日志；
• mail.none，authpriv.none，cron.none指示这些错误消息不应记录到/var/log/messages文件中；
• 您还可以指定* .none，这表示将不记录任何日志消息；

　　以下是/ var / log /目录下的20个不同的日志文件。 其中一些日志文件是特定于分发的。 例如，您将在基于Debian的系统上（例如，在Ubuntu上）看到dpkg.log。

/var/log/messages –包含全局系统消息，包括系统启动期间记录的消息。 /var/log/messages中记录了包括：mail，cron，daemon，kern，auth等。
/var/log/dmesg –包含内核ring缓冲区信息。系统启动时，它将在屏幕上打印一些消息，以显示有关内核在引导过程中检测到的硬件设备的信息。这些消息在内核ring缓冲区中可用，并且每当新消息到来时，旧消息就会被覆盖。您也可以使用dmesg命令查看此文件的内容。
/var/log/auth.log –包含系统认证信息，包括所使用的用户登录名和身份验证机制。
/var/log/boot.log –包含系统启动时记录的信息
/var/log/daemon.log –包含由系统上运行的各种后台守护程序记录的信息
/var/log/dpkg.log –包含使用dpkg命令安装或删除软件包时记录的信息
/var/log/kern.log –包含内核记录的信息。帮助您解决定制内核的问题。
/var/log/lastlog –显示所有用户的最新登录信息。这不是一个ascii文件。您应该使用lastlog命令查看此文件的内容。
/var/log/maillog /var/log/mail.log –包含来自系统上运行的邮件服务器的日志信息。例如，sendmail将有关所有已发送项目的信息记录到此文件中
/var/log/user.log –包含有关所有用户级别日志的信息
/var/log/Xorg.x.log –记录来自X的消息
/var/log/alternatives.log –更新替代方法的信息记录到此日志文件中。在Ubuntu上，update-alternatives维护确定默认命令的符号链接。
/var/log/btmp –该文件包含有关登录失败尝试次数的信息。使用最后一个命令查看btmp文件。例如，“ last -f /var/log/btmp |more”
/var/log/cups –所有与打印机和打印相关的日志消息
/var/log/anaconda.log –安装Linux时，所有与安装相关的消息都存储在此日志文件中
/var/log/yum.log –包含使用yum安装软件包时记录的信息
/var/log/cron –每当cron守护程序（或anacron）启动cron作业时，它将在该文件中记录有关cron作业的信息
/var/log/secure –包含与身份验证和授权特权有关的信息。例如，sshd将所有消息记录在此处，包括登录失败。
/var/log/wtmp或/var/log/utmp –包含登录记录。使用wtmp可以找出谁登录了系统。 who命令使用此文件显示信息。
/var/log/faillog -包含用户失败的登录尝试次数。使用faillog命令显示此文件的内容。

　　除上述日志文件外，/var/log目录还可能包含以下子目录，具体取决于系统上运行的应用程序。

/var/log/httpd/（或）/var/log/apache2 –包含apache Web服务器access_log和error_log
/var/log/lighttpd/ -包含简单的HTTPD access_log和error_log
/var/log/conman/ – ConMan客户端的日志文件。 conman连接由conmand守护程序管理的远程控制台。
/var/log/mail/ –此子目录包含来自邮件服务器的其他日志。例如，sendmail将收集的邮件统计信息存储在/var/log/mail/statistics文件中
/var/log/prelink/ –预链接程序修改共享库和链接的二进制文件以加快启动过程。 /var/log/prelink/prelink.log包含有关由预链接修改的.so文件的信息。
/var/log/audit/ –包含Linux审计守护程序（auditd）存储的日志信息。
/var/log/setroubleshoot/ – SELinux使用setroubleshootd（SE故障排除守护程序）来通知文件安全上下文中的问题，并将这些信息记录在此日志文件中。
/var/log/samba/ –包含samba存储的日志信息，该信息用于将Windows连接到Linux。
/var/log/sa/ –包含sysstat软件包收集的每日sar文件。
/var/log/sssd/ –由系统安全服务守护程序使用，该守护程序管理对远程目录和身份验证机制的访问。

　　您可以手动使用logrotate自动执行此操作，而不必手动尝试归档日志文件，而是在x天后对其进行清理，或者在达到一定大小后删除日志，而是使用logrotate自动执行此操作。

　　要查看日志文件，请使用以下任一方法。 但是，请不要执行“ cat | more'。

• vim –如果对vim命令感到满意，请使用vim编辑器进行快速日志文件浏览。
• tail –如果要实时查看日志文件的内容（在应用程序正在编写日志时），请使用“ tail -f”。 您也可以同时查看多个日志文件（使用“ tail -f”）。
• grep –如果您确切地知道在日志文件中要查找的内容，则可以快速使用grep命令grep模式。 
• less – Less命令对于浏览日志文件非常强大。 

参考原文

　　https://www.thegeekstuff.com/2011/08/linux-var-log-files/