2023年7月10日发(作者：)

常⽤Linux⽇志⽂件的名称和⽤法如果您在Linux环境中花费⼤量时间，则必须知道⽇志⽂件的位置以及每个⽇志⽂件中包含的内容。当系统运⾏平稳时，请花⼀些时间来学习和理解各种⽇志⽂件的内容，这将在出现危机时为您提供帮助，并且您必须查看⽇志⽂件以找出问题所在。/etc/控制某些⽇志⽂件中的内容。 例如，以下是/etc/中/ var / log / messages/ var / log / messages的条⽬。$ grep "/var/log/messages" /etc/*.info;;;

/var/log/messages在上⾯的输出中，* .info表⽰将记录所有类型为INFO的⽇志。，，指⽰这些错误消息不应记录到/ var / log / messages⽂件中。您还可以指定* .none，这表⽰将不记录任何⽇志消息。以下是/ var / log /⽬录下的20个不同的⽇志⽂件。 其中⼀些⽇志⽂件是特定于分发的。 例如，您将在基于Debian的系统上（例如，在Ubuntu上）看到 。1. / var / log / messages –包含全局系统消息，包括系统启动期间记录的消息。 在/ var / log / messages中记录了⼏件事，包括mail，cron，daemon，kern，auth等。2. / var / log / dmesg –包含内核环形缓冲区信息。 系统启动时，它将在屏幕上打印⼀些消息，以显⽰有关内核在引导过程中检测到的硬件设备的信息。 这些消息在内核环形缓冲区中可⽤，并且每当新消息到来时，旧消息就会被覆盖。 您也可以使⽤dmesg命令查看此⽂件的内容。3. /var/log/ –包含系统授权信息，包括使⽤的⽤户登录名和⾝份验证机制。4. /var/log/ –包含系统启动时记录的信息5. /var/log/ –包含由系统上运⾏的各种后台守护程序记录的信息6. /var/log/ –包含使⽤dpkg命令安装或删除软件包时记录的信息7. /var/log/ –包含内核记录的信息。 帮助您解决定制内核的问题。8. / var / log / lastlog –显⽰所有⽤户的最新登录信息。 这不是⼀个ascii⽂件。 您应该使⽤lastlog命令查看此⽂件的内容。9. / var / log / maillog /var/log/ –包含来⾃系统上运⾏的邮件服务器的⽇志信息。 例如，sendmail将有关所有已发送项⽬的信息记录到此⽂件中10. /var/log/ –包含有关所有⽤户级别⽇志的信息11. /var/log/ –记录来⾃X的消息12. /var/log/ –更新替代⽅法的信息记录到此⽇志⽂件中。 在Ubuntu上，update-alternatives维护确定默认命令的符号链接。13. / var / log / btmp （ lastblastb命令；显⽰所有错误的登录尝试） / var / log / wtmp （显⽰⾃创建⽂件以来所有已登录和退出的⽤户… 最后⼀个最后⼀个命令；尝试登录）–此⽂件包含有关登录失败的信息尝试。 使⽤最后⼀个命令查看btmp⽂件。 例如，“ last -f /last -f /var / log / btmp | 更多var / log / btmp |更多 ”14. / var / log / cups –所有与打印机和打印相关的⽇志消息15. /var/log/ –安装Linux时，所有与安装相关的消息都存储在此⽇志⽂件中16. /var/log/ –包含使⽤yum安装软件包时记录的信息17. / var / log / cron –每当cron守护程序（或anacron）启动cron作业时，它将在该⽂件中记录有关cron作业的信息18. / var / log / secure –包含与⾝份验证和授权特权有关的信息。 例如，sshd将所有消息记录在这⾥，包括登录失败。19. / var / log / wtmp或/ var / log / utmp –包含登录记录。 使⽤wtmpwtmp可以找出谁登录了系统。 whowho命令使⽤此⽂件显⽰信息。20. / var / log / faillog-包含⽤户失败的登录尝试次数。 使⽤faillogfaillog命令显⽰此⽂件的内容。除了上述⽇志⽂件以外， / var / log/ var / log⽬录还可能包含以下⼦⽬录，具体取决于系统上运⾏的应⽤程序。/ var / log / httpd / （或） / var / log / apache2 –包含apache Web服务器access_logaccess_log和error_logerror_log/ var / log / lighttpd / -包含简单的HTTPD access_logHTTPD access_log和error_logerror_log/ var / log / conman / – ConMan客户端的⽇志⽂件。 conman连接由conmand守护程序管理的远程控制台。/ var / log / mail / –此⼦⽬录包含来⾃邮件服务器的其他⽇志。 例如，sendmail将收集的邮件统计信息存储在/ var / log / mail /statistics⽂件中/ var / log / prelink / –预链接程序修改共享库和链接的⼆进制⽂件以加快启动过程。 /var/log/prelink/包含有关由预链接修改的.so⽂件的信息。/ var / log / audit / –包含Linux审核守护程序（ auditdauditd ）存储的⽇志信息。/ var / log / setroubleshoot / – SELinux使⽤setroubleshootd（SE故障排除后台程序）来通知⽂件安全上下⽂中的问题，并将这些信息记录在此⽇志⽂件中。/ var / log / samba / –包含samba存储的⽇志信息，该信息⽤于将Windows连接到Linux。/ var / log / sa / –包含sysstat软件包收集的每⽇sar⽂件。/ var / log / sssd / –由系统安全服务守护程序使⽤，该守护程序管理对远程⽬录和⾝份验证机制的访问。查看⼤量⽇志⽂件以解决问题是系统管理员和程序员的⽇常⼯作。 在本⽂中，让我们回顾如何使⽤10个很棒的⽰例来有效地查看和操作⼤型⽇志⽂件。⽰例1：使⽤sed命令显⽰⽂件的特定⾏（基于⾏号）仅查看⾏号提及的特定⾏。Syntax: $ sed -n -e Xp -e Yp FILENAMEsed：sed命令，默认情况下将打印所有⾏。-n：抑制输出。-e CMD：要执⾏的命令Xp：打印⾏号XYp：打印⾏号YFILENAME：要处理的⽂件名。下⾯提到的⽰例将从syslog打印⾏120、145、1050。$ sed -n -e 120p -e 145p -e 1050p /var/log/syslog在以下⽰例中，您可以从⾏号101到110查看var / log / cronvar / log / cron的内容。M –起始⾏号N –结束⾏号Syntax: sed -n M,Np FILENAME$ sed -n 101,110p /var/log/cron⽰例2：使⽤head命令显⽰⽂件的前N⾏本⽰例仅显⽰/ var / log / maillog/ var / log / maillog⽂件的前15⾏。 将15更改为10以显⽰⽇志⽂件的前10⾏。语法： head -n N FILENAMEhead -n N FILENAME$ head -n 15 /var/log/maillog⽰例3：使⽤head命令忽略⽂件的最后N⾏本⽰例说明如何忽略最后N⾏，并仅显⽰⽂件顶部的其余⾏。 以下⽰例将显⽰/ var / log / secure的/ var / log / secure的所有⾏，但最后250⾏除外。Syntax: head -n -N FILENAME$ head -n -250 /var/log/secure⽰例4：使⽤tail命令显⽰⽂件的最后N⾏本⽰例仅显⽰/ var / log / messages/ var / log / messages⽂件的最后50⾏。 将50更改为100，以显⽰⽇志⽂件的最后100⾏。Syntax: tail -n N FILENAME$ tail -n 50 /var/log/messages⽰例5：使⽤tail命令忽略⽂件的前N-1⾏本⽰例说明如何忽略前N-1⾏，仅显⽰其余⾏。 以下⽰例忽略了/etc/的前/etc/的前四⾏，该⾏仅包含注释。Syntax: tail -n +N FILENAME$ tail -n +5 /etc/

defaults{ instances = 60 log_type = SYSLOG authpriv log_on_success = HOST PID log_on_failure = HOST cps = 25 30}includedir /etc/xinetd.d⽰例6：使⽤tail命令实时查看增长的⽇志⽂件这可能是sysadmins最常⽤的命令之⼀。要查看不断增长的⽇志⽂件并仅查看较新的内容，请使⽤tail -ftail -f ，如下所⽰。以下⽰例以实际⽅式显⽰/ var / log / syslog/ var / log / syslog命令的内容：：时间。Syntax: tail -f FILENAME$ tail -f /var/log/syslog⽰例7：使⽤head和tail命令显⽰⽂件的特定⾏（基于⾏号）下⾯的⽰例将显⽰/var/log//var/log/⽂件的⾏号101 – 110M –起始⾏号N –结束⾏号Syntax: cat file | tail -n +N | head -n (M-N+1)$ cat /var/log/ | tail -n +101 | head -n10cat：将整个⽂件打印到标准输出。tail -n +101：忽略直到给定⾏号的⾏，然后在给定⾏号之后开始打印⾏。head -n 10：打印前10⾏，即101到110，并忽略其余⾏。⽰例8：显⽰与模式匹配的⾏，以及匹配之后的⼏⾏。以下⽰例显⽰了与/ var / log / dmesg/ var / log / dmesg中的“ Initializing CPUInitializing CPU ”相匹配的⾏以及此匹配后的5⾏。# grep "Initializing CPU#1" /var/log/dmesgInitializing CPU#1

[Note: The above shows only the line matching thepattern]# grep -A 5 "Initializing CPU#1" dmesg

Initializing CPU#1Calibrating delay using timer specific routine.. 3989.96 BogoMIPS(lpj=1994982)CPU: After generic identify, caps: bfebfbff 20100000 0000CPU: After vendor identify, caps: bfebfbff 20100000 0000monitor/mwait feature : L1 I cache: 32K, L1 D cache: 32K

[Note: The above shows the line and 5 lines afterthe pattern matching]⽰例9：显⽰⽂件中的特定字节。以下⽰例说明了如何显⽰⽂件的前40个字节或最后30个字节。显⽰syslog中的前40个字节。$ head -c40 /var/log/syslog显⽰syslog中的最后30个字节。$ tail -c30 /var/log/syslog⽰例10：查看压缩的⽇志⽂件在特定时间后，所有系统⽇志⽂件都将旋转并压缩。 您可以动态解压缩它，然后将输出通过管道传递到另⼀个unix命令以查看⽂件，如下所述。显⽰压缩⽂件的前N⾏。$ zcat | head -250显⽰压缩⽂件的最后N⾏。$ zcat | tail -250忽略压缩⽂件的最后N⾏。$ zcat | head -n -250忽略压缩⽂件的前N⾏。$ zcat | tail -n +250查看与图案匹配的线$ zcat | grep -A2 'error'查看由⾏号标识的特定⾏范围。$ zcat | sed -n -e 45p -e 52p参考： 博客上来⾃我们 Saurab Parakh的 。