日志简略介绍

日志功能

• 系统和程序的“记事本”

• 记录系统和程序运行中发生的各种事件

• 通过查看日志可以了解信息以及排除故障

• 日志也是信息安全控制的依据

内核级系统日志

• 日志由系统服务rsyslog服务统一记录和管理

• 日志消息采用文本格式记录

• 主要记录的信息：事件发生的时间、主机、进程、内容（类似于：时间、地点、人物、发生的事情）

• 系统日志：/var/log/messages

常见日志文件介绍

日志文件	用途
/var/log/messages	记录内核信息、各种服务的公共信息
/var/log/boot.log	记录系统启动过程的各种信息
/var/log/cron	记录计划任务（crond）的相关信息
/var/log/maillog	记录邮件收发的相关信息
/var/log/secure	记录与访问限制相关的安全信息

日志分析

• 通用分析工具：tail、tail -f、less、grep、 awk、sed 等过滤工具等文本浏览/检索命令
• 专业日志分析工具：Webmin 系统管理套件，Webalizer、AWStats 日志统计套件，ELK 日志分析平台

日志级别

• Linux内核定义的事件紧急程度，数值越小越优先

• 0: emerg #会导致主机系统不可用的情况

• 1: alert #须马上采取措施解决问题

• 2: crit #比较严重的情况

• 3: err #运行出现错误

• 4: warning #可能会影响系统功能的事件

• 5: notice #不会影响系统但值得注意

• 6: info #一般信息

• 7: debug #程序或系统调试信息

journalctl工具

• 使用journalctl工具提取由systemd-journal 服务搜集的日志，主要包括内核/系统日志、服务日志

• journalctl | grep 关键词

• journalctl -u 服务名 -p 日志级别

• journalctl -n 消息条数