linux系统日志 如何在Linux中管理日志

Linux上的日志文件包含了很多信息——比你有时间检查的还要多。这里有一些建议告诉你如何正确使用它们……而不是淹没在它们之中。

在Linux系统上管理日志文件可能很容易，也可能很痛苦。这完全取决于你对日志管理的看法。

如果你认为如何确保日志文件不会耗尽你的Linux服务器上所有的磁盘空，那么这个问题通常很简单。Linux系统上的日志文件会自动翻转，系统只维护固定数量的翻转日志。即便如此，一目了然的看一组几百个文件，可能会让人有不知所措的感觉。在本文中，我们将看看日志循环是如何工作的，以及一些最相关的日志文件。

自动日志旋转

日志文件经常循环。当前日志将获得稍微不同的文件名，并创建一个新的日志文件。以系统日志文件为例。对于很多正常的系统消息文件来说，这个文件是一个包罗万象的东西。如果您将光盘刻录到/var/log并检查它，您可能会看到一系列系统日志文件，如下所示:

$ ls -l syslog*-rw-r----- 1 syslog adm 28996 Jul 30 07:40 syslog-rw-r----- 1 syslog adm 71212 Jul 30 00:00 syslog.1-rw-r----- 1 syslog adm 5449 Jul 29 00:00 syslog.2.gz-rw-r----- 1 syslog adm 6152 Jul 28 00:00 syslog.3.gz-rw-r----- 1 syslog adm 7031 Jul 27 00:00 syslog.4.gz-rw-r----- 1 syslog adm 5602 Jul 26 00:00 syslog.5.gz-rw-r----- 1 syslog adm 5995 Jul 25 00:00 syslog.6.gz-rw-r----- 1 syslog adm 32924 Jul 24 00:00 syslog.7.gz

每天午夜轮换，旧的日志文件保留一周，然后删除最旧的系统日志文件。Syslog.7.gz文件将从系统中删除，syslog.6.gz将更名为syslog.7.gz。日志文件的其余部分将依次被重命名，直到syslog成为syslog.1并创建一个新的syslog文件。有些系统日志文件比其他文件大，但一般来说，它们都不会变得很大，您永远不会看到超过八个文件。这给了你一周多的时间来回顾他们收集的任何数据。

特定日志文件维护的文件数量取决于日志文件本身。有些文件可能有13个文件。注意syslog和dpkg的旧文件是如何压缩保存的空。这里需要考虑的是，您最感兴趣的是最近的日志，而旧的日志可以根据需要通过gun解压缩。

# ls -t dpkg*dpkg.log dpkg.log.3.gz dpkg.log.6.gz dpkg.log.9.gz dpkg.log.12.gzdpkg.log.1 dpkg.log.4.gz dpkg.log.7.gz dpkg.log.10.gzdpkg.log.2.gz dpkg.log.5.gz dpkg.log.8.gz dpkg.log.11.gz

日志文件可以根据时间和大小进行轮换。检查日志文件时请记住这一点。

虽然默认值适用于大多数Linux系统管理员，但是如果您愿意，您可以以不同的方式配置日志文件循环。请检查这些文件，如/etc/rsyslog.conf和/etc/logrotate.conf。

使用日志文件

管理日志文件还包括不时使用它们。使用日志文件的第一步可能包括:习惯每个日志文件可以告诉你系统是如何工作的，以及系统可能会遇到什么问题。从头到尾阅读日志文件并不是一个好的选择，但是当你想知道你的系统的运行情况或者需要跟踪一个问题的时候，知道如何从日志文件中获取信息会有很大的好处。它还表明您对每个文件中存储的信息有一个大致的了解。例如:

$ who wtmp | tail -10 显示最近的登录信息$ who wtmp | grep shark 显示特定用户的最近登录信息$ grep "sudo:" auth.log 查看谁在使用 sudo$ tail dmesg 查看（最近的）内核日志$ tail dpkg.log 查看最近安装和更新的软件包$ more ufw.log 查看防火墙活动（假如你使用 ufw）

您运行的一些命令也将从日志文件中提取信息。例如，如果您想查看系统重新启动的列表，可以使用以下命令:

$ last rebootreboot system boot 5.0.0-20-generic Tue Jul 16 13:19 still runningreboot system boot 5.0.0-15-generic Sat May 18 17:26 - 15:19 (21+21:52)reboot system boot 5.0.0-13-generic Mon Apr 29 10:55 - 15:34 (18+04:39)

使用更高级的日志管理器

虽然您可以编写脚本来更容易地在日志文件中找到感兴趣的信息，但是您也应该知道有一些非常复杂的日志文件分析工具。有些可以链接来自多个来源的信息，以更全面地了解您的网络上发生的事情。它们还可以提供实时监控。诸如太阳风日志&事件管理器和PRTG网络监控器(包括日志监控)之类的工具浮现在脑海中。

还有免费的工具来帮助分析日志文件。其中包括:

Logwatch — 用于扫描系统日志中感兴趣的日志行的程序Logcheck — 系统日志分析器和报告器

如果你对Linux感兴趣，你可以去www.edusahoo.com了解一下。