Linux系统日志及日志分析

1、大部分Linux发行版默认的日志守护进程为 syslog，位于 /etc/syslog 或 /etc/syslogd，默认配置文件为 /etc/syslog.conf，任何希望生成日志的程序都可以向 syslog 发送信息。而Fedora、Ubuntu,、rhel6、centos6以上版本默认的日志系统都是rsyslog，rsyslog是syslog的多线程增强版

3、下面是常见的日志类型，但并不是所有的Linux发行版都包含这些类型：

5、所有的系统应用都会在/var/log 目录下创建日志文件，或创建子目录再创建日志文件

7、 第一列为日志类型和日志优先级的组合，每个类型和优先级的组合称为一个选择器；后面一列为保存日志的文件、服务器，或输出日志的终端。syslog 进程根据选择器决定如何操作日志。对配置文件说明： 日志类型和优先级由点号(.)分开，例如kern.debug 表示由内核产生的调试信息。kern.debug 的优先级大于 debug。星号(*)表示所有，例如*.debug 表示所有类型的调试信息，kern.* 表示由内核产生的所有消息。可以使用逗号(,)分隔多个日志类型，使用分号(;)分隔多个选择器。对日志的操作包括： 将日志输出到文件，例如/var/log/maillog 或 /dev/console。将消息发送给用户，多个用户用逗号(,)分隔，例如root, amrood。通过管道将消息发送给用户程序，注意程序要放在管道符(|)后面。将消息发送给其他主机上的 syslog 进程，这时/etc/syslog.conf 文件后面一列为以@开头的主机名，例如@see.xidian.edu.cn。

8、logger 是Shell命令，可以通过该命令使用 syslog 的系统日志模块，还可以从命令行直接向系统日志文件写入一行信息。logger命令的语法为：logger [-i] [-f filename] [-p priority] [-t tag] [message...]-ffilename：将 filename 文件的内容作为日志。-i ：每行都记录 logger 进程的ID。-p priority ：指定优先级；优先级必须是形如 facility.priority 的完整的选择器，默认优先级为user.notice。-t tag ：使用指定的标签标记每一个记录行。message ：要写入的日志内容，多条日志以空格为分隔；如果没有指定日志内容，并且 -f filename 选项为空，那么会把标准输入作为日志内容。

11、 logrotate 的主要配置文件是 /etc/logrotate.conf，/etc/logrotate.d 目录是对 /etc/logrotate.conf 的补充，或者说为了不使 /etc/logrotate.conf 过大而设置。

12、 注意：include 允许管理员把多个分散的文件集中到一个，类似于C语言的 #include，将其他文件的内容包含进当前文件。 include 非常有用，一些程序会把转储日志的配置文件放在/etc/logrotate.d 目录，这些配置文件会覆盖或增加/etc/logrotate.conf 的配置项，如果没有指定相关配置，那么采用/etc/logrotate.conf 的默认配置。 所以，建议将/etc/logrotate.conf 作为默认配置文件，第三方程序在/etc/logrotate.d 目录下自定义配置文件。 logrotate 也可以作为命令直接运行来修改配置文件。