Linux系统上的日志文件包含大量信息——多到你没有时间查看。这里有一些关于如何正确使用它们的建议……而不是淹没在它们中。在Linux系统上管理日志文件可能非常容易,也可能非常痛苦。这完全取决于您认为日志管理是什么。如果您认为这是如何确保日志文件不会耗尽Linux服务器上的所有磁盘空间,那么问题通常很简单。Linux系统上的日志文件会自动滚动,系统只会维护固定数量的滚动日志。即便如此,一眼看去包含数百个文件的集合还是让人不知所措。在本文中,我们将了解日志轮换的工作原理,以及一些最相关的日志文件。自动日志轮换日志文件经常轮换。当前日志的文件名略有不同,并创建了一个新的日志文件。以系统日志文件为例。该文件是许多普通系统消息文件的包罗万象。如果您cd到/var/log并查看,您可能会看到一系列类似这样的syslog文件:$ls-lsyslog*-rw-r-----1syslogadm28996Jul3007:40syslog-rw-r-----1syslogadm71212Jul3000:00syslog.1-rw-r-----1syslogadm5449Jul2900:00syslog.2.gz-rw-r-----1syslogadm6152Jul2800:00syslog.3.gz-rw-r-----1syslogadm7031Jul2700:00syslog.4.gz-rw-r-----1syslogadm56027月26日00:00syslog.5.gz-rw-r-----1个系统日志adm59957月25日00:00syslog.6.gz-rw-r-----1个系统日志adm329247月24日00:00syslog.7.gz每天午夜轮换,旧日志文件保留一周,然后删除最旧的系统日志文件。syslog.7.gz文件将从系统中删除,syslog.6.gz将重命名为syslog.7.gz。其余日志文件按顺序重命名,直到syslog变为syslog.1并创建新的syslog文件。一些syslog文件会比其他文件大,但通常没有一个文件会变得很大,而且您永远不会看到超过8个。这给了你一个多星期的时间来查看他们收集的任何数据。特定日志文件维护的文件数取决于日志文件本身。有些文件可能有13个。请注意系统日志和dpkg的旧文件是如何压缩以节省空间的。这里的考虑是您对最近的日志最感兴趣,而较旧的日志可以根据需要使用gunzip解压。#ls-tdpkg*dpkg.logdpkg.log.3.gzdpkg.log.6.gzdpkg.log.9.gzdpkg.log.12.gzdpkg.log.1dpkg.log.4.gzdpkg.log.7.gzdpkg.log.10.gzdpkg.log.2.gzdpkg.log.5.gzdpkg.log.8.gzdpkg.log.11.gz日志文件可以根据时间和大小轮换.检查日志文件时请记住这一点。虽然默认设置适用于大多数Linux系统管理员,但如果您愿意,可以对日志文件轮换进行不同的配置。查看这些文件,例如/etc/rsyslog.conf和/etc/logrotate.conf。使用日志文件日志文件的管理还包括不时使用它们。使用日志文件的第一步可能包括习惯每个日志文件可以告诉您系统的工作方式以及您可能遇到的问题。从头到尾阅读日志文件几乎不是一种选择,但是当您想了解系统的运行情况或需要追踪问题时,知道如何从日志文件中获取信息会大有帮助。这也表明您对每个文件中存储的信息有一个大致的了解。示例:$谁wtmp|tail-10显示最近登录$whowtmp|grepshark显示特定用户的最近登录$grep"sudo:"auth.log查看谁在使用sudo$taildmesg查看(最近)内核日志$taildpkg.log查看最近安装和更新的包$moreufw.log查看防火墙活动(如果您使用ufw)您运行的某些命令还会从日志文件中提取信息。例如,如果要查看系统重启列表,可以使用以下命令:$lastrebootrebootsystemboot5.0.0-20-genericTueJul1613:19stillrunningrebootsystemboot5.0.0-15-generic5月18日星期六17:26-15:19(21+21:52)重启系统boot5.0.0-13-generic4月29日星期一10:55-15:34(18+04:39)使用更高级的日志管理器尽管您可以编写脚本以更轻松地在日志文件中找到感兴趣的信息,但您也应该意识到有一些非常复杂的工具可用于日志文件分析。有些可以连接来自多个来源的信息,以更全面地了解网络上发生的事情。他们还可以提供实时监控。我想到了SolarwindsLog&EventManager和PRTGNetworkMonitor(包括日志监控)等工具。还有一些免费工具可以帮助分析日志文件。其中包括:Logwatch-用于扫描系统日志以查找感兴趣的日志行的程序Logcheck-系统日志分析器和报告器在下一篇文章中,我将提供一些关于这些工具的见解和帮助。
