Linux日志檔案

                                 linux 日志檔案

配置檔案格式

裝置名.級别；裝置名.級别 位置   （級别和位置中間要用tab隔開）

日志級别

emerge

alert

crit

err

warning

notice

info

debug

mail.err  mail級别等于或者高于err,就記錄日志

mail.=err  mail級别等于err,才記錄日志

* 表示所有的日志裝置和日志級别

none 表示忽略全部！

deamon.* 表示把所有級别的日志發送到daemon裝置

*.emerge 表示把emerg級别的日志發送到所有裝置

kern.none 表示忽略所有的核心日志

常用的日志位置

檔案名  ： 把日志資訊儲存到本地的檔案中，檔案必須要給出絕對路徑

*  ： 把日志資訊發送給所有目前有使用者登入的終端上

使用者清單： 把日志資訊發送給某些使用者，使用者名之間用，隔開

/dev/console； 把日志資訊發送到控制台

@主機名或IP  把日志資訊發送到遠端主機，由遠端主機的syslogd程序接受

|<程式名>： 把日志資訊通過管道發給另一個程式

日志的轉儲：

logrotate :轉儲，壓縮，删除，備份

登陸日志：

/var/log/lastlog  lastlog指令檢視

/var/log/wtmp   who指令檢視，目前線上使用者資訊

/var/run/utmp  w指令檢視

記賬功能，記錄使用者使用過的指令  安裝 psacct

日志存儲位置：/var/accout/pacct

啟動方法;

service psacct start

/etc/rc.d/init.d/psacct start

accton /var/account/pacct

停止方法：

accton  不帶任何參數

檢視指令 lastcomm  基于/var/account/pacct

/usr/bin/sa 可以把以前執行過的指令曾經占用多少CPU時間的資訊統計出來，并且

提供了系統資源的消費資訊，對于鑒别某些占用大量CPU時間的可疑指令十分有用

基于/var/account/pacct

/usr/bin/ac  基于/var/log/wtmp 統計使用者線上時間,以小時為機關

ac

ac -d

ac -p

日志分析工具

logcheck 基于crond 定期分析日志