linux 日志檔案
配置檔案格式
裝置名.級别;裝置名.級别 位置 (級别和位置中間要用tab隔開)
日志級别
emerge
alert
crit
err
warning
notice
info
debug
mail.err mail級别等于或者高于err,就記錄日志
mail.=err mail級别等于err,才記錄日志
* 表示所有的日志裝置和日志級别
none 表示忽略全部!
deamon.* 表示把所有級别的日志發送到daemon裝置
*.emerge 表示把emerg級别的日志發送到所有裝置
kern.none 表示忽略所有的核心日志
常用的日志位置
檔案名 : 把日志資訊儲存到本地的檔案中,檔案必須要給出絕對路徑
* : 把日志資訊發送給所有目前有使用者登入的終端上
使用者清單: 把日志資訊發送給某些使用者,使用者名之間用,隔開
/dev/console; 把日志資訊發送到控制台
@主機名或IP 把日志資訊發送到遠端主機,由遠端主機的syslogd程序接受
|<程式名>: 把日志資訊通過管道發給另一個程式
日志的轉儲:
logrotate :轉儲,壓縮,删除,備份
登陸日志:
/var/log/lastlog lastlog指令檢視
/var/log/wtmp who指令檢視,目前線上使用者資訊
/var/run/utmp w指令檢視
記賬功能,記錄使用者使用過的指令 安裝 psacct
日志存儲位置:/var/accout/pacct
啟動方法;
service psacct start
/etc/rc.d/init.d/psacct start
accton /var/account/pacct
停止方法:
accton 不帶任何參數
檢視指令 lastcomm 基于/var/account/pacct
/usr/bin/sa 可以把以前執行過的指令曾經占用多少CPU時間的資訊統計出來,并且
提供了系統資源的消費資訊,對于鑒别某些占用大量CPU時間的可疑指令十分有用
基于/var/account/pacct
/usr/bin/ac 基于/var/log/wtmp 統計使用者線上時間,以小時為機關
ac
ac -d
ac -p
日志分析工具
logcheck 基于crond 定期分析日志