ubuntu系统日志的配置和使用

ubuntu系统日志的配置和使用
原文地址：http://marshal.easymorse.com/archives/1543

在ubuntu服务器上，日志是通过syslogd进程处理的。该进程读取如下配置文件：

/etc/syslog.conf

该文件主要配置哪些信息需要记录日志，记录到什么地方。

在该配置文件的第一部分，是对系统设施日志的配置，主要有：

auth：有关认证进程的信息；
daemo：有关守护进程的信息；
kern：有关系统内核的信息；
mail：有关邮件系统的信息；
其他。。。
比如，可以看到有关守护进程的日志，以下是查看时间服务器守护进程的日志：

sudo cat /var/log/daemon.log | grep ntp

再比如，通过/var/log/kern.log，查看到的信息：

Sep  8 09:28:35 homeserver kernel: [8694475.980021] TCP: Treason uncloaked! Peer 77.227.199.53:53801/20478 shrinks window 2499870467:2499871859. Repaired.

来自西班牙的远程访问，未经服务器允许改变了tcp窗口大小。


第二部分，是日志级别，和log4j的级别概念类似。有：

debug(调试) 与none(不需登录等级)；
info：一些基本的信息；
notice：比info需要被注意到的一些信息内容；
warning：警示的讯息，可能有问题， 但是还不至于影响到某个 daemon 运作的信息；基本上， info, notice, warn 这三个讯息都是在告知一些基本信息，应该还不至于造成一些系统运作困扰；
err：一些重大的错误讯息， 例如设定文件的某些设定值造成该服务服法启动的信息说明，通常通过err的错误告知，应该可以了解到该服务无法启动的问题；
crit：比error还要严重的错误信息，这个crit是临界点(critical)的缩写，这个错误已经很严重；
alert：警告，已经很有问题的等级，比crit还要严重；
emerg：紧急，系统已经几乎要当机的状态。很严重的错误信息。通常大概只有硬件出问题，导致整个核心无法顺利运作，就会出现这样的等级的信息。
有关硬件的日志，dmesg。

有关登录错误的日志信息，使用如下命令：

faillog

比如出现这样的提示：

arshal@dev:~$ sudo faillog
[sudo] password for marshal:
Login       Failures Maximum Latest                   On

root            1        0   08/03/09 16:35:41 +0800  tty1

查看即插即用设备的日志：

marshal@dev:~$ sudo tail /var/log/udev -f
ID_FS_USAGE=filesystem
ID_FS_TYPE=ext3
ID_FS_VERSION=1.0
ID_FS_UUID=632c404a-ab69-4aa8-9a13-e6137347dbe9
ID_FS_UUID_ENC=632c404a-ab69-4aa8-9a13-e6137347dbe9
DEVNAME=/dev/sda1
MAJOR=8
MINOR=1
DEVLINKS=/dev/block/8:1 /dev/disk/by-id/scsi-SSEAGATE_ST373207LC_3KT2CZLG-part1 /dev/disk/by-path/pci-0000:02:05.1-scsi-0:0:0:0-part1 /dev/disk/by-uuid/632c404a-ab69-4aa8-9a13-e6137347dbe9

另外，可以通过命令直接写日志信息到文件：
logger ‘中文’

默认情况下，可以在/var/log/syslog或者/var/log/messages文件中找到该日志信息。也可以写入到指定的文件中。

其他有用的日志：

/var/log/apt/term.log，apt操作日志
dd
其他有关日志的命令。

比如查看最后登录用户：

sudo lastlog