linux系统日志在哪里

linux系统如何查看系统日志

我已经习惯了这个。
当我第一次进入 Linux 时，我注意到日志文件头太大。
让我告诉你我当时是怎么发现的。

2 01 8 年的一年，我还在上海的一家小公司工作。
当时服务器出现问题，CPU爆炸，让客户着急。
新来的孩子很着急。
老板让我看日志。
我傻乎乎的输入命令cd /var/log进去看了一下。
哦！一堆文件，系统日志，消息，auth.log......它就像一本圣经。

当时我的第一反应是使用猫。
我输入 cat syslog，所有内容立即出现在屏幕上。
英语太厚重了，我什么也听不懂。
重点是，当你从头到尾看到它的时候，你的CPU可能就处理不了了。
老板走过来说：‘你这个白痴，你不会用尾巴吗？我脸红了，学得很快。

当您运行 tail syslog 时，最后 1 0 行将显示在屏幕上。
嗯，比猫好多了。
后来我学会了如何使用-n读取5 0行，例如tail -n 5 0 syslog。
后面最重要的是tail -f。
输入这个命令后，我盯着屏幕。
当然，过了一会儿，新的日志开始向上滚动一点。
现在我感觉很舒服，可以按照新日志查看问题所在。
那个 tail -f 救了我很多次。

现在，如果您阅读日志，您将执行以下操作： 1 . 首先，输入 cd /var/log。
2 . 根据您的情况，使用 tail -f 检查最新条目或使用 tail -n 2 0 检查最后 2 0 行。
3 . 你仍然需要使用 cat 来查看所有内容，但是现在谁来做呢？太慢了。

总之，tail -f 是个好东西，尤其是从服务器前端查看日志时。
如果你尝试一下，肯定比广茂的全档要好。

linux系统日志在哪？

坦白讲，Linux系统日志一般存放在/var/log目录下。
里面的文件分为两类：主要日志和特殊日志。

主日志中，/var/log/syslog 是重点。
去年运行该项目时，我们发现它专门记录系统警告和崩溃，例如硬盘突然故障等重大事件，而且内容更侧重于错误而不是消息。
消息文件是所有电子邮件、计划任务和用户操作的杂项记录。
去年我们在排查邮件服务问题时，在这里发现了一些线索。
另一点需要注意的是，系统日志和消息在不同的发行版中可能会更改名称。
例如，Debian 使用 syslog，RedHat 向后使用 syslog。
这取决于具体情况。

特殊日志中，user.log和auth.log最为关键。
在去年的审计中，我们发现 user.log 可以揭示操作员在半夜做了什么，级别从调试到紧急。
auth.log 是万无一失的安全性证明。
去年我们发现了一个挖矿木马，通过sudo记录这个文件就完全发现了它。
还有另一个关键细节。
kern.log中包含的内核信息对于从事驱动开发的人来说比咖啡还清爽。

说实话，这很令人困惑。
许多人只关注系统日志和消息。
去年我们因为忘记查看 daemon.log 而错过了机会。
因此，无法连接 NTP 服务。
我们花了很长时间才在日志中找到配置错误。
等等，还有一件事。
这些报纸随时流通。
如果你不快速阅读它们，它们可能会被冲昏头脑。
使用tail -f命令实时查看更加方便。
但不要只看它们。
您需要使用 grep 过滤它们。

建议尝试使用grep来过滤关键字，比如“错误”或者特定的服务名称，这样效率会高很多。

linux系统日志在哪里?

说实话，Linux 系统日志非常有趣。
对于不同的系统和不同的目的，日志文件的位置不一定相同。
我曾经在 CentOS 上运行服务器，日志文件基本上分布在多个地方。

老实说，现在不建议在许多较新的系统中使用 /var/log/messages 文件，但人们仍然在较旧的系统上经常阅读它。
我曾经有一台服务器突然崩溃了。
我查看了这个文件，发现进程异常终止。
但需要注意的是，现在很多系统都将其拆分成了更详细的信息，比如auth.log、syslog等。

/var/log/auth.log 这个文件非常重要。
上次我帮一个朋友检查是否有人暴力破解了他的 SSH 密码。
我查看了这个文件，发现了一个登录尝试的条目。
IP地址一目了然，一目了然。
最好定期备份该文件，否则清除后会出现问题。

我经常阅读/var/log/dmesg 文件。
想一想：当计算机第一次开机时，都是关于主板、显卡等硬件的自检，以及内核是如何初始化的。
我之前给我的笔记本电脑添加了内存，当我打开它时，我看到 dmesg 中报告了硬件检测异常。
我迅速重启并删除了内存。
结果发现是接触不良。
该文件是纯文本文件，可以直接使用cat命令或less查看，但使用dmesg命令最方便，它会自动滚动页面到最新版本。

至于Journalctl工具，说实话，自从系统更新到Fedora 3 5 后，我基本上不需要再去读其他日志了。
这太聪明了。
当我检查Apache日志时，我直接使用logctl -u httpd，当我检查Nginx时，我直接使用logctl -u nginx。
最好的部分是它还可以按时间过滤。
上次我检查错误发生的时间时，我只是使用 logctl --since "yesterday" 来查找它。
但是，请记住，较旧的系统可能尚不支持此功能。

我也经常使用 dmesg 命令，尤其是当它与参数一起使用。
例如，dmesg -T 将显示时间戳，dmesg | grep "error" 直接过滤错误信息。
我的客户端服务器经常出现蓝屏。
我将 dmesg 输出到文件，然后使用 grep 解析它。
最后发现是驱动问题。

我还使用了图形工具。
GNOME 日志界面非常清晰。
我曾经帮助一位同事设置 Linux Mint，她非常喜欢它。
我还使用过 KSystemLog，它在 KDE 系统上非常有用。
Logwatch 是一个更好的命令行工具。
上次我在公司服务器上安装它时，我每天早上都会通过电子邮件收到系统状态报告。
它立即显示峰值处理器负载、磁盘空间和网络流量。
不过，这需要手动设置才能发送电子邮件，有点麻烦。

一般来说，在阅读日志时，初学者最好使用 GNOME Logs 或 KSystemLog，而高级用户最好使用命令行。
对于我来说，目前我很喜欢 Journalctl 和 dmesg 的组合，非常有效。
但如果您涉及运维，建议您将所有关键日志配置在一个中央日志服务器上，这样统一管理会更加方便。
我自己没试过，但同事说效果很好。

linux系统日志在哪里

坦白说，查看Linux系统日志其实还是很容易的。
我们先来说说最重要的事情。
日志文件保存在/var/log目录下。
比如我去年跑的一个项目，所有的日志都在这个目录下。
还有一点是，可以在终端中输入 ls /var/log 来查看所有日志文件。
各类原木约有3 000余根。

一开始我以为这是只有系统管理员才能做的事情，但后来我发现我错了。
其实，这也与日常使用有关。
请稍等。
另外就是有些日志文件可能很大，不方便直接查看。
此时，您可以使用 less 或 tail 命令来查看页面或显示最后一段内容。

最后，许多人没有意识到定期备份日志是一个好习惯，因为它们可能会因系统重新启动或磁盘空间不足而被删除。
你怎么认为？您还有其他查看日志的技巧吗？