2020-01-11 13:28:19 qq_42402854 阅读数 1431

       Linux 系统中有很多重要的日志文件,这些文件可以保存很多访问 Linux的日志记录,这些日志大多存放在/var/log目录下和/run目录下,但是这些日志中,有些并不能使用cat,vi,more等命令打开,而是需要用到一些特殊的命令,这里简单做介绍。

Linux 日志文件说明

/var/log/message  系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一

/var/log/secure     与安全相关的日志信息

/var/log/maillog     与邮件相关的日志信息

/var/log/cron          与定时任务相关的日志信息

/var/log/spooler      与UUCP和news设备相关的日志信息

/var/log/boot.log     守护进程启动和停止相关的日志消息

/var/log/wtmp         该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件

一、w命令

      w命令用于显示目前登入系统的用户信息。

      执行这项指令可得知目前登入系统的用户有哪些人,以及他们正在执行的程序。

      单独执行 w 指令会显示所有的用户,您也可指定用户名称,仅显示某位用户的相关信息。

语法:w [-fhlsuV] [用户名称]

参数说明

  • -f  开启或关闭显示用户从何处登入系统。
  • -h  不显示各栏位的标题信息列。
  • -l  使用详细格式列表,此为预设值。
  • -s  使用简洁格式列表,不显示用户登入时间,终端机阶段作业和程序所耗费的CPU时间。
  • -u  忽略执行程序的名称,以及该程序耗费CPU时间的信息。
  • -V  显示版本信息。

实例:

1、1、显示目前登入系统的所有用户信息,不加任何参数

    

第一行信息输出内容和使用uptime命令输出一样,它包含的列信息说明如下:

  • 12:30:08- 当前系统时间.
  • up 2:14 - 系统运行时长.
  • 3 users - 登录用户数.
  • load average: 0.00, 0.01, 0.05 - 系统过去1,5,15分钟的平均负载信息。平均系统负载是对当前正在运行或正在等待磁盘I/O的作业数的度量。 它基本上告诉您系统在给定间隔内的繁忙程度。

第二行信息包括如下字段说明:

  • USER – 登录用户名.
  • TTY – 登录用户使用的终端名.
  • FROM –登录用户来源的主机名或IP地址.
  • LOGIN@ – 用户登录时长.
  • IDLE – 自用户上一次与终端进行交互以来的空闲时间.
  • JCPU – 附加到tty的所有进程使用的时间.
  • PCPU –用户当前进程所用的时间。 显示在“ WHAT”字段中的那个.
  • WHAT – 用户当前的进程及选项/参数。

2、显示某个用户,目前登入系统的信息,则输出将限于给定的用户

    

 二、who命令

      who命令用于显示系统中有哪些使用者正在上面,显示的资料包含了使用者 ID、使用的终端机、从哪边连上来的、上线时间、呆滞时间、CPU 使用量、动作等等。

      使用权限:所有使用者都可使用。

语法:who - [husfV] [user]

参数说明

  • -H 或 --heading:显示各栏位的标题信息列;
  • -i 或 -u 或 --idle:显示闲置时间,若该用户在前一分钟之内有进行任何动作,将标示成"."号,如果该用户已超过24小时没有任何动作,则标示出"old"字符串;
  • -m:此参数的效果和指定"am i"字符串相同;
  • -q 或--count:只显示登入系统的帐号名称和总人数;
  • -s:此参数将忽略不予处理,仅负责解决who指令其他版本的兼容性问题;
  • -w 或-T或--mesg或--message或--writable:显示用户的信息状态栏;

实例:

1、显示当前登录系统的用户

[root@centos7 ~]# who
root     tty1         2020-01-11 10:15
root     pts/0        2020-01-11 10:16 (192.168.198.1)
lisi     pts/1        2020-01-11 12:30 (192.168.198.1)

2、只显示当前用户

[root@centos7 ~]# who -m -H
名称   线路       时间           备注
root     pts/0        2020-01-11 10:16 (192.168.198.1)
[root@centos7 ~]# whoami
root

  输入whoami 显示自己的登录的用户名。

三、last命令

      last命令用于显示近期用户或终端的登录情况。通过last命令查看该程序的log,管理员可以获知谁曾经或者企图连接系统。

      执行last命令时,它会读取/var/log目录下名称为wtmp的文件,并把该文件记录的登录系统或终端的用户名单全部显示出来。默认显示wtmp的记录,btmp能显示的更详细,可以显示远程登录,例如ssh登录。

语法:last [-num | -n num] [-f file] [-t YYYYMMDDHHMMSS] [-R] [-adioxFw] [username..] [tty..]

-num |-n num   指定输出记录的条数
-f file   指定记录文件作为查询的log文件
-t YYYYMMDDHHMMSS   显示指定时间之前的登录情况
username 账户名称
tty   终端机编号

选项:
-R 不显示登录系统或终端的主机名称或IP
-a 将登录系统或终端的主机名过IP地址显示在最后一行
-d 将IP地址转成主机名称
-I 显示特定IP登录情况。
-o 读取有linux-libc5应用编写的旧类型wtmp文件
-x 显示系统关闭、用户登录和退出的历史
-F 显示登录的完整时间
-w 在输出中显示完整的用户名或域名

实例:

第一列:用户名

第二列:终端位置(pts/0伪终端,意味着从SSH或telnet等工具远程连接的用户,图形界面终端归于此类。tty0直接连接到计算机或本地连接的用户。后面的数字代表连接编号)

第三列:登录IP或内核(如果是:0.0或者什么都没有,意味着用户通过本地终端连接。除了重启活动,内核版本会显示在状态中)

第四列:开始时间

第五列:结束时间(still login in尚未退出,down直到正常关机,crash直到强制关机)

第六列:持续时间

1、指定显示记录的数量(显示记录中最后登录的数量)

[root@centos7 ~]# last -n 10
lisi     pts/1        192.168.198.1    Sat Jan 11 12:30   still logged in   
root     pts/0        192.168.198.1    Sat Jan 11 10:16   still logged in   
root     tty1                          Sat Jan 11 10:15   still logged in   
reboot   system boot  3.10.0-957.el7.x Sat Jan 11 10:15 - 12:53  (02:37)    
root     pts/1        192.168.198.1    Fri Jan 10 22:08 - 23:24  (01:15)    
root     pts/0        192.168.198.1    Fri Jan 10 14:07 - crash  (20:07)    
root     tty1                          Fri Jan 10 14:07 - 23:24  (09:17)    
reboot   system boot  3.10.0-957.el7.x Fri Jan 10 14:07 - 12:53  (22:46)    
root     pts/0        192.168.198.1    Tue Jan  7 20:33 - down   (02:38)    
root     pts/1        192.168.198.1    Tue Jan  7 18:44 - 20:56  (02:11)    

wtmp begins Sun Dec  1 20:35:35 2019

2、指定查询的文件,原本默认的是wtmp

[root@centos7 ~]# last -10 -f /var/log/btmp
root     tty1                          Sat Jan  4 10:06    gone - no logout 
root     tty1                          Fri Jan  3 15:35 - 10:06  (18:30)    
root     tty1                          Fri Jan  3 15:18 - 15:35  (00:17)    
root     tty1                          Fri Jan  3 15:18 - 15:18  (00:00)    
root     ssh:notty    192.168.198.1    Fri Jan  3 15:18    gone - no logout 

btmp begins Fri Jan  3 15:18:01 2020

3、显示指定时间之前的记录

[root@centos7 ~]# last -5 -t 20200111000000
root     pts/1        192.168.198.1    Fri Jan 10 22:08 - 23:24  (01:15)    
root     pts/0        192.168.198.1    Fri Jan 10 14:07    gone - no logout 
root     tty1                          Fri Jan 10 14:07 - 23:24  (09:17)    
reboot   system boot  3.10.0-957.el7.x Fri Jan 10 14:07 - 12:56  (22:49)    
root     pts/0        192.168.198.1    Tue Jan  7 20:33 - down   (02:38)    

wtmp begins Sun Dec  1 20:35:35 2019

四、lastlog 命令

      lastlog命令用于显示系统中所有用户最近一次登录信息。

      lastlog文件在每次有用户登录时被查询。可以使用lastlog命令检查某特定用户上次登录的时间,并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号(tty)和上次登录时间。如果一个用户从未登录过,lastlog显示**Never logged**。

注意:需要以root身份运行该命令。

语法:lastlog(选项)

常用参数:

-b <天数> 显示指定天数前的登录信息
-t <天数> 显示指定天数以来的登录信息
-u <用户名> 显示指定用户的最近登录信息
-h 显示召集令的帮助信息

实例:

1、显示系统中所有用户最近一次登录信息

[root@centos7 ~]# lastlog 
用户名           端口     来自             最后登陆时间
root             pts/0    192.168.198.1    六 1月 11 10:16:19 +0800 2020
bin                                        **从未登录过**
daemon                                     **从未登录过**
adm                                        **从未登录过**
lp                                         **从未登录过**
sync                                       **从未登录过**
shutdown                                   **从未登录过**
halt                                       **从未登录过**
mail                                       **从未登录过**
operator                                   **从未登录过**
games                                      **从未登录过**
ftp                                        **从未登录过**
nobody                                     **从未登录过**
systemd-network                            **从未登录过**
dbus                                       **从未登录过**
polkitd                                    **从未登录过**
abrt                                       **从未登录过**
sshd                                       **从未登录过**
postfix                                    **从未登录过**
chrony                                     **从未登录过**
apache                                     **从未登录过**
lisi             pts/1    192.168.198.1    六 1月 11 12:30:01 +0800 2020

2、显示指定天数以来的登录信息

[root@centos7 ~]# lastlog -t 3
用户名           端口     来自             最后登陆时间
root             pts/0    192.168.198.1    六 1月 11 10:16:19 +0800 2020
lisi             pts/1    192.168.198.1    六 1月 11 12:30:01 +0800 2020

3、显示指定用户的最近登录信息

[root@centos7 ~]# lastlog -u lisi
用户名           端口     来自             最后登陆时间
lisi             pts/1    192.168.198.1    六 1月 11 12:30:01 +0800 2020

五、lastb 命令

      lastb命令用于列出登入系统失败的用户相关信息。

      单独执行lastb指令,它会读取位于/var/log目录下,名称为btmp的文件,并把该文件内容记录的登入失败的用户名单,全部显示出来。

语法:lastb [-adRx][-f <记录文件>][-n <显示列数>][帐号名称...][终端机编号...]

参数说明

  • -a  把从何处登入系统的主机名称或IP地址显示在最后一行。
  • -d  将IP地址转换成主机名称。
  • -f<记录文件>  指定记录文件。
  • -n<显示列数>或-<显示列数>  设置列出名单的显示列数。
  • -R  不显示登入系统的主机名称或IP地址。
  • -x  显示系统关机,重新开机,以及执行等级的改变等信息。

实例:

1、显示登录失败的用户

[root@centos7 ~]# lastb 
root     tty1                          Sat Jan  4 10:06 - 10:06  (00:00)    
root     tty1                          Fri Jan  3 15:35 - 15:35  (00:00)    
root     tty1                          Fri Jan  3 15:18 - 15:18  (00:00)    
root     tty1                          Fri Jan  3 15:18 - 15:18  (00:00)    
root     ssh:notty    192.168.198.1    Fri Jan  3 15:18 - 15:18  (00:00)    

btmp begins Fri Jan  3 15:18:01 2020

 

     站在前辈的肩膀上,每天进步一点点

ends~

2018-02-06 21:29:06 second60 阅读数 4123

linux统日志

second60  20180206

1简介

   linux系统拥有非常强大的日志功能,保存着几乎有所有操作记录,包括内核和程序产生的各种错误信息,警告信息或其他提示信息,对这些信息管理员了解系统的运行状态和分析问题非常有用。可以从日志文件中获得自已想要的信息。

 

1.1 日志进程

   默认日志守护进程为syslog. 位于/usr/sbin/syslog /usr/sbin/syslogd/usr/sbin/rsyslog.d.默认配置文件为:/etc/syslog.conf ,/etc/rsyslog.conf,可以配置生成的日志

 

查看命令:ps -ef | grep syslog

 root@onlinegame:/var/log# ps -ef | grep syslog
root      5659     1  0  2017 ?        00:23:22 /usr/sbin/rsyslogd

syslog服务可以根据日志的类型,优先级将日志保存到不同文件中。

 

linux系统log日志文件默认路径在/var/log中。

 

 

1.2 常用日志类型

类型

说明

auth

用户认证时产生的日志,如login命令、su命令。

console

针对系统控制台的消息。

cron

系统定期执行计划任务时产生的日志。

daemon

某些守护进程产生的日志。

kern

系统内核消息。

mail

邮件日志。

news

网络新闻传输协议(nntp)产生的消息。

ntp

网络时间协议(ntp)产生的消息。

user

用户进程。

 

1.3 常用日志优先级

优先级

说明

emerg

紧急情况,系统不可用(例如系统崩溃),一般会通知所有用户。

alert

需要立即修复,例如系统数据库损坏。

crit

危险情况,例如硬盘错误,可能会阻碍程序的部分功能。

err

一般错误消息。

warning

警告。

notice

不是错误,但是可能需要处理。

info

通用性消息,一般用来提供有用信息。

debug

调试程序产生的信息。

none

没有优先级,不记录任何日志消息。

 

1.2 常用的日志

1. /var/log/messages: 包括整体系统普通信息,其中也包含系统启动期间的日志。此外,还包括mail,cron,daemon,kern,auth等内容.

2. /var/log/syslog:它上messages日志不同,它只记录警告信息,通常是系统出问题的信息。

3. /var/log/user.log: 记录所有等级用户信息的日志.

4. /var/log/auth.log: 包含系统授权信息,用户登陆和使用权限机制

5. /var/log/daemon.log: 包含各种系统后台守护进程日志信息

6. /var/log/kern.log: 包含内核产生的日志,有助于在定制内核时解决问题.

7. /var/log/boot.log: 记录系统在引导过程中发生的事件,即linux系统开机自检过程显示的信息

8. /var/log/lastlog: 记录最后一次用户成功登陆的时间,IP等信息,lastlog查看

9. /var/log/secure: linux系统安全日志,记录用户和工作组变坏情况,用户登陆认证情况

10. /var/log/btmp:记录linux登陆失败的用户,时间和远程IP

11. /var/log/wtmp:此日志文件永久记录每个用户登录,注销及系统的启动,停机的事件,用last查看

12. /var/log/utmp:记录有关当前登录的每个用户的信息。如who,w,users,finger等需要访问此文件

2 日志文件简介

2.1. /var/log/messages日志

包含的信息比较全面

1. 启动时日志

2. 玩家操作日志等

 

格式:

日期时间 机器名命令描述信息

 

root@onlinegame:/var/log$ vi messages

Dec 24 06:25:29 onlinegame rsyslogd: [origin software="rsyslogd" swVersion="8.4.2" x-pid="5659" x-info="http://www.rsyslog.com"] rsyslogd was HUPed

Dec 24 06:27:01 onlinegame rsyslogd0: action 'action 26' resumed (module 'builtin:ompipe') [try http://www.rsyslog.com/e/0 ]

Dec 25 09:22:45 onlinegame -bash: HISTORY: PID=19793 PPID=19792 SID=19793 USER=zhangke01 CMD=ll

Dec 25 09:23:13 onlinegame -bash: HISTORY: PID=19793 PPID=19792 SID=19793 USER=zhangke01 CMD=cd wo

 

2.2 /var/log/syslog日志文件

默认centos不生成,可以在/etc/rsyslog.conf配置让系统生成日志文件。

syslog只记录警告信息,常常是系统出问题的信息,所以要关注此文件.

要让系统生成该日志文件,在/etc/rsyslog.conf文件中加上:*.warning /var/log/syslog 该日志文件能记录当用户登录时login记录下的错误口令、Sendmail的问题、su命令执行失败等信息。

 

该日志文件记录最近成功登录的事件和最后一次不成功的登录事件,由login生成。在每次用户登录时被查询,该文件是二进制文件,需要使用lastlog命令查看,根据UID排序显示登录名、端口号和上次登录时间。如果某用户从来没有登录过,就显示为"**Never logged in**"。该命令只能以root权限执行。简单地输入lastlog命令后就会看到类似图4的信息:

 

luoying@onlinegame:/var/log$ vi syslog

Dec 31 17:29:47 onlinegame exim[18063]: write failed on panic log: length=104 result=-1 errno=28 (No space left on device)

Dec 31 17:59:48 onlinegame exim[20253]: 2017-12-31 17:59:47 failed to write to main log: length=47 result=-1 errno=28 (No space left on device)

Feb  6 17:46:26 onlinegame -bash: HISTORY: PID=3687 PPID=3686 SID=3687 USER=gugang CMD=python

Feb  6 17:49:23 onlinegame bash: HISTORY: PID=30491 PPID=30482 SID=30424 USER=root CMD=cd ..

Feb  6 17:49:26 onlinegame bash: HISTORY: PID=30491 PPID=30482 SID=30424 USER=root CMD=cd svn up

Feb  6 17:49:29 onlinegame bash: HISTORY: PID=30491 PPID=30482 SID=30424 USER=root CMD=ls -l

Feb  6 17:49:34 onlinegame bash: HISTORY: PID=30491 PPID=30482 SID=30424 USER=root CMD=svn up

Feb  6 17:49:38 onlinegame bash: HISTORY: PID=30491 PPID=30482 SID=30424 USER=root CMD=cd ../engine/

Feb  6 17:49:41 onlinegame bash: HISTORY: PID=30491 PPID=30482 SID=30424 USER=root CMD=sh stop_node.sh

Feb  6 17:49:42 onlinegame bash: HISTORY: PID=30491 PPID=30482 SID=30424 USER=root CMD=sh start_node.sh

 

2.3 /var/log/boot.log日志

记录系统在引导过程中发生的事件,即linux系统开机自检过程显示的信息

[root@localhost log]# cat boot.log 

[  OK  ] Started Show Plymouth Boot Screen.

[  OK  ] Reached target Paths.

[  OK  ] Reached target Basic System.

         Starting File System Check on /dev/disk/by-uuid/6d32...88652b684ca0...

systemd-fsck[301]: fsck: error 2 (No such file or directory) while executing fsck.ext2 for /dev/disk/by-uuid/6d32919a-e3d2-4e22-a5a5-88652b684ca0

[  OK  ] Started File System Check on /dev/disk/by-uuid/6d329...5-88652b684ca0.

[  OK  ] Started dracut initqueue hook.

         Mounting /sysroot...

[  OK  ] Mounted /sysroot.

[  OK  ] Reached target Initrd Root File System.

         Starting Reload Configuration from the Real Root...

[  OK  ] Started Reload Configuration from the Real Root.

[  OK  ] Reached target Initrd File Systems.

[  OK  ] Reached target Initrd Default Target.

Welcome to CentOS Linux 7 (Core)!

[  OK  ] Stopped Switch Root.

[  OK  ] Stopped target Switch Root.

[  OK  ] Stopped target Initrd File Systems.

 

 

2.4 /var/log/wtmp日志文件(用户登陆)

该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。

随着系统正常运行时间的增加,该文件的大小也会越来越大,增加的速度取决于系统用户登录的次数。

该日志文件可以用来查看用户的登录记录,last命令就通过访问这个文件获得这些信息,并以反序从后向前显示用户的登录记录,last也能根据用户、终端tty或时间显示相应的记录。

 

[root@localhost log]# last

root     pts/1        192.168.1.1      Tue Feb  6 17:18   still logged in   

root     pts/0        192.168.1.1      Tue Feb  6 17:18   still logged in   

root     pts/1        192.168.1.1      Thu Feb  1 21:10 - 21:14  (00:04)    

root     pts/0        192.168.1.1      Thu Feb  1 14:21 - 21:47  (07:25)    

root     pts/1        192.168.1.1      Tue Jan 30 10:46 - 19:18  (08:31)    

root     pts/0        192.168.1.1      Tue Jan 30 09:32 - 19:18  (09:45)    

luoying  pts/0        192.168.1.5      Wed Jan 24 21:21 - 21:21  (00:00)

2.5 /var/log/utmp日志文件(用户登陆)

该日志文件记录有关当前登录的每个用户的信息。

因此这个文件会随着用户登录和注销系统而不断变化,它只保留当时联机的用户记录,不会为用户保留永久的记录。

系统中需要查询当前用户状态的程序,如whow等就需要访问这个文件。该日志文件并不能包括所有精确的信息,因为某些突发错误会终止用户登录会话,而系统没有及时更新 utmp记录,因此该日志文件的记录不是百分之百值得信赖的。

[root@localhost log]# who

(unknown) :0           2018-01-24 21:19 (:0)

root     pts/0        2018-02-06 17:18 (192.168.1.1)

root     pts/1        2018-02-06 17:18 (192.168.1.1)

[root@localhost log]# w

 18:20:58 up 12 days, 21:03,  3 users,  load average: 0.00, 0.01, 0.05

USER     TTY        LOGIN@   IDLE   JCPU   PCPU WHAT

root     pts/0     17:18    2.00s  0.38s  0.05s w

root     pts/1     17:18    1:02m  0.05s  0.05s -bash

2.6 /var/log/lastlog日志文件(用户登陆)

记录最后一次用户成功登陆的时间,IP等信息,lastlog查看

wtmputmplastlog都记录了用户的登陆情况,所有记录包含了相同的时间戳。而且文件是二进制保存的,不能用cat/vi直接查看。而是使用相关的命令令查看。

[root@localhost log]# lastlog

用户名           端口     来自             最后登陆时间

root             pts/1    192.168.1.1       2月  6 17:18:46 +0800 2018

bin                                        **从未登录过**

daemon                                     **从未登录过**

sync                                       **从未登录过**

shutdown                                   **从未登录过**

halt                                       **从未登录过**

mail                                       **从未登录过**

games                                      **从未登录过**

gdm              :0                         1 24 21:19:08 +0800 2018

tcpdump                                    **从未登录过**

haha          pts/0    192.168.1.5       1 24 21:21:28 +0800 2018

mysql            pts/1                      4 11 15:15:05 +0800 2017

test         pts/0    192.168.1.1       1228 20:20:05 +0800 2017

 

 

 

2.7 /var/log/users.log日志文件(用户操作日志)

记录所有等级用户信息的日志.

root@onlinegame:/var/log$ vi users.log

Dec 25 10:01:26 onlinegame bash: HISTORY: PID=24187 PPID=24179 SID=24125 USER=root CMD=ll

Dec 25 10:01:27 onlinegame bash: HISTORY: PID=24187 PPID=24179 SID=24125 USER=root CMD=rm -rf bin

Dec 25 10:01:28 onlinegame bash: HISTORY: PID=24187 PPID=24179 SID=24125 USER=root CMD=ls

Dec 25 10:01:29 onlinegame bash: HISTORY: PID=24187 PPID=24179 SID=24125 USER=root CMD=cd ..

Dec 25 10:01:29 onlinegame bash: HISTORY: PID=24187 PPID=24179 SID=24125 USER=root CMD=ll

Dec 25 10:01:32 onlinegame bash: HISTORY: PID=24187 PPID=24179 SID=24125 USER=root CMD=cd ..

Dec 25 10:01:32 onlinegame bash: HISTORY: PID=24187 PPID=24179 SID=24125 USER=root CMD=ll

Dec 25 10:01:39 onlinegame bash: HISTORY: PID=24187 PPID=24179 SID=24125 USER=root CMD=sh pack.sh

Dec 25 10:02:11 onlinegame bash: HISTORY: PID=24187 PPID=24179 SID=24125 USER=root CMD=ll

 

 

 

2.8 /var/log/auth.log(授权信息)

包含系统授权信息,用户登陆和使用权限机制

root@onlinegame:/var/log$ vi auth.log

Feb  6 20:49:19 onlinegame sshd[11351]: Did not receive identification string from 192.168.44.161

Feb  6 20:50:01 onlinegame CRON[11387]: pam_unix(cron:session): session opened for user root by (uid=0)

Feb  6 20:50:01 onlinegame CRON[11386]: pam_unix(cron:session): session opened for user root by (uid=0)

Feb  6 20:50:01 onlinegame CRON[11388]: pam_unix(cron:session): session opened for user root by (uid=0)

Feb  6 20:50:01 onlinegame CRON[11389]: pam_unix(cron:session): session opened for user root by (uid=0)

Feb  6 20:50:01 onlinegame CRON[11386]: pam_unix(cron:session): session closed for user root

Feb  6 20:50:01 onlinegame CRON[11388]: pam_unix(cron:session): session closed for user root

Feb  6 20:50:01 onlinegame CRON[11389]: pam_unix(cron:session): session closed for user root

Feb  6 20:50:03 onlinegame CRON[11387]: pam_unix(cron:session): session closed for user root

 

 

2.9 /var/log/daemon.log(守护进程日志)

包含各种系统后台守护进程日志信息

root@onlinegame:/var/log$ vi daemon.log

Dec 25 09:52:18 onlinegame dbus[1781]: [system] Activating service name='org.freedesktop.login1' (using servicehelper)

Dec 25 09:52:19 onlinegame dbus[1781]: [system] Activating service name='org.freedesktop.systemd1' (using servicehelper)

Dec 25 09:52:19 onlinegame dbus[1781]: [system] Activated service 'org.freedesktop.systemd1' failed: Launch helper exited with unknown return code 1

Dec 25 09:52:19 onlinegame dbus[1781]: [system] Activated service 'org.freedesktop.login1' failed: Launch helper exited with unknown return code 1

 

 

2.10 /var/log/kern.log(内核日志)

 包含内核产生的日志,有助于在定制内核时解决问题.

luoying@onlinegame:/var/log$ vi kern.log

Dec 25 20:06:59 onlinegame kernel: [19645166.590333] UDP: bad checksum. From 192.168.41.42:5353 to 224.0.0.251:5353 ulen 48

Dec 25 20:07:07 onlinegame kernel: [19645174.122019] UDP: bad checksum. From 192.168.41.42:137 to 192.168.43.255:137 ulen 58

Dec 28 15:29:52 onlinegame kernel: [19887739.280311] device eth0 entered promiscuous mode

Dec 28 15:30:04 onlinegame kernel: [19887751.777992] device eth0 left promiscuous mode

Dec 28 15:30:38 onlinegame kernel: [19887785.920414] device eth0 entered promiscuous mode

Dec 28 15:30:43 onlinegame kernel: [19887790.828312] device eth0 left promiscuous mode

Dec 28 15:30:48 onlinegame kernel: [19887795.052369] device eth0 entered promiscuous mode

2.11 /var/log/secure(系统安全日志)

 linux系统安全日志,记录用户和工作组变坏情况,用户登陆认证情况

[root@localhost log]# vim secure

Feb  6 17:18:23 localhost sshd[517]: Accepted password for root from 192.168.1.1 port 15063 ssh2

Feb  6 17:18:23 localhost sshd[517]: pam_unix(sshd:session): session opened for user root by (uid=0)

 

2.12 /var/log/btmp(登陆失败日志)

记录linux登陆失败的用户,时间和远程IP

 

 

 

2019-04-08 11:04:30 weixin_44306061 阅读数 73

1.系统日志管理

后台的程序(通常被称为守护进程或者服务进程)处理了你的linux系统的大部分任务,当这些守护进程工作的时候,它们会将任务的详细信息记录进日志文件中,作为它们做过什么的‘历史’信息(包括错误信息)

/var/log/message #记录系统中所产生的日志

测试:

vim /etc/ssh/sshd_config
78:错误的信息
systemctl restart sshd.service(服务启动报错)
>/var/log/message(清空文件)
cat /var/log/message ---> 报错信息写入文件中

1.rsyslog服务

此服务用来采集系统日志,他不产生日志,只是起到了采集的作用

2.rsyslog的管理

vim /etc/rsyslog.conf
/var/log/messages   ##服务信息日志(记录linux操作系统常见的服务信息和错误信息)
/var/log/secure     ##系统的登陆日志(记录用户和工作组的变化情况,是系统安全日志,用户的认证登陆情况)
/var/log/maillog    ##邮件日志
/var/log/cron       ##定时任务 
/var/log/boot.log   ##系统启动日志

什么类型的日志.什么级别的日志

日志的类型
auth        #用户认证时产生的日志,login su 命令
authpriv    #ssh ,ftp等登陆服务的验证信息
cron	    #与时间任务相关
kern        #系统内核消息
lpr         #与打印机活动有关
mail        #邮件日志
mark        #服务内部的信息,是时间标识(产生时间戳)
user        #用于用户程序产生的相关信息
uucp        #unix to unix copy unix主机之间相关的通信
news.crit   #新闻组(网络新闻传输协议(nnpt)产生的消息)

日志级别分为 #注意:从上到下,级别从低到高,记录的信息是越来越少的

debug     #有调试信息(日志信息产生的最多)
info      #一般信息日志(最常用)
notice    #最具有重要性的普通条件信息(不是错误,但是可能需要你去处理)
warning   #警告
err       #错误(一般错误)
crit      #严重错误(情况危险)
alert     #需要立即修改的信息(例如:数据库损坏)
emerg     #内核崩溃
none      #什么都不记录

3.日志的远程同步(日志的接首方 日志的发送方)

systemctl stop firewalld.service
systemctl disable firewalld.service

在日志的发送方:
vim /etc/rsyslog.conf 
*.*                                                    @172.25.254.101### @:表示udp协议发送   @@:表示tcp协议发送  ip:接收方的ip
systemctl restart rsyslog.service

在日志的接收方:
 15 $ModLoad imudp   #日志的接收模块
 16 $UDPServerRun 514 #开启接收端口

测试:

在发送方和接收方都清空日志文件
> /var/log/message

在日志的发送方
logger test
cat /var/log/message #查看日志是否生成

在日志的接收方
tail -f /var/loge/message #动态监控文件的末尾信息

4.日志采集格式的设定

1.在日志的接收方做
vim /etc/rsyslog.conf

$template LOGFMT,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"

%timegenerated%    #显示日志时间
%FROMHOST-IP%      #显示主机IP
%syslogtag%        #日志记录目标
%msg%              #日志内容

*.*                               /var/log/westos;LOGFMT

2.时间同步服务器

1.chronyd

服务的名称:chronyd
在服务端:

vim /etc/chrony.conf
22 allow 172.25.254.0/24  #允许哪些客户端来同步本机的时间
29 local stratum 10   #本机不同步任何主机的时间,本机作为时间源

systemctl restart chronyd.service 
timedatectl set-timezone Asia/Shanghai #更改当前时区为东八区

在客户端:

vim /etc/chrony.conf
3 server 172.25.254.101 iburst  #本机同步172.25.254.101主机的时间

测试:

#在客户端
[root@desktop51 mnt]# chronyc sources -v
210 Number of sources = 1

  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||                                                /   xxxx = adjusted offset,
||         Log2(Polling interval) -.             |    yyyy = measured offset,
||                                  \            |    zzzz = estimated error.
||                                   |           |                         
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.254.101               10   6    37     0    -17us[-47303s] +/- 1757us
[root@desktop51 mnt]# date
Tue Nov 12 00:19:54 CST 2019


############系统时间的设定
date
       date [OPTION]... [+FORMAT]
       date [-u|--utc|--universal] [MMDDhhmm[[CC]YY][.ss]]

DESCRIPTION
       Display  the  current  time  in the given FORMAT, or set the system
       date.
       Mandatory arguments to long options are mandatory for short options
       too.

#查看当前日期的x天前或者x天后的时间

    [root@desktop51 mnt]# date -d +3day
    Mon Nov 14 11:12:00 CST 2011
    [root@desktop51 mnt]# date -d -3day
    Tue Nov  8 11:12:06 CST 2011
    [root@desktop51 mnt]# date +%Y%m%d
    20111111
    [root@desktop51 mnt]# date +%Y/%m/%d
    2011/11/11
    [root@desktop51 mnt]# date +%Y-%m/%d
    2011-11/11
    [root@desktop51 mnt]# date +%Y-%m-%d
    2011-11-11

2 timedatectl

管理系统的时间

[root@desktop51 mnt]# timedatectl status  #显示当前时间的信息
      Local time: Fri 2011-11-11 11:17:11 CST
  Universal time: Fri 2011-11-11 03:17:11 UTC
        RTC time: Sun 2019-01-13 07:11:18
        Timezone: Asia/Shanghai (CST, +0800)
     NTP enabled: yes
NTP synchronized: yes
 RTC in local TZ: no
      DST active: n/a

[root@desktop51 mnt]# timedatectl set-time "2012-10-30 18:17:16" #设定当前时间
[root@desktop51 mnt]# timedatectl status 
      Local time: Tue 2012-10-30 18:17:23 CST
  Universal time: Tue 2012-10-30 10:17:23 UTC
        RTC time: Tue 2012-10-30 10:17:23
        Timezone: Asia/Shanghai (CST, +0800)
     NTP enabled: yes
NTP synchronized: no
 RTC in local TZ: no
      DST active: n/a

timedatectl set-timezone #设定当前时区
timedatectl list-timezones #查看支持的所有时区

[root@desktop51 mnt]# timedatectl set-local-rtc 0  #设定是否使用utc时间
[root@desktop51 mnt]# timedatectl set-local-rtc 1
[root@desktop51 mnt]# timedatectl set-local-rtc 0
[root@desktop51 mnt]# 
[root@desktop51 mnt]# timedatectl status 
      Local time: Tue 2012-10-30 18:20:24 CST
  Universal time: Tue 2012-10-30 10:20:24 UTC
        RTC time: Tue 2012-10-30 10:20:24
        Timezone: Asia/Shanghai (CST, +0800)
     NTP enabled: yes
NTP synchronized: yes
 RTC in local TZ: no
      DST active: n/a
[root@desktop51 mnt]# timedatectl set-local-rtc 1
[root@desktop51 mnt]# timedatectl status 
      Local time: Tue 2012-10-30 18:20:36 CST
  Universal time: Tue 2012-10-30 10:20:36 UTC
        RTC time: Tue 2012-10-30 18:20:36
        Timezone: Asia/Shanghai (CST, +0800)
     NTP enabled: yes
NTP synchronized: yes
 RTC in local TZ: yes
      DST active: n/a

Warning: The RTC is configured to maintain time in the local timezone. This
         mode is not fully supported and will create various problems with time
         zone changes and daylight saving adjustments. If at all possible use
         RTC in UTC, by calling 'timedatectl set-local-rtc 0'.
  • systemd-journald和rsyslog
    一种改进的日志管理服务,是 syslog 的补充,收集来自内核、启动过程早期阶段、标
    准输出、系统日志,守护进程启动和运行期间错误的信息
    将消息写入到结构化的事件日志中(数据库),默认情况下重启后删除
    syslog 的信息也可以由 systemd-journald 转发到 rsyslog 中进一步处理
    默认情况下,systemd 的日志保存在 /run/log/journal 中,系统重启就会清除,这是RHEL7的新特性。通过新建 /var/log/journal 目录,日志会自动记录到这个目录中,并永久存储。
    rsyslog 服务随后根据优先级排列日志信息,将它们写入到 /var/log目录中永久保存

1.journal

1.journalctl ##日志查看工具

-n 3		##查看最近3条日志
	-p err		##查看错误日志
	-o verbose	##查看日志的详细参数 (举例sshd,重启pid会变,查看原来pid的日志)journalctl _PID=827 _COMM=sshd
	--since 	##查看从什么时间开始的日志
	--until		##查看到什么时间为止的日志
	journalctl --since "2018-11-11 12:00" --until "2018-11-11 12:01" (查看时间段内的日志)
  • journalctl是查看内存中日志,不存储

2.如何使用systemd-journald保存系统日志

  • 默认systemd-journald是不保存日志到硬盘的
  • 那么关机以后再次开机只能开到开机之后的日志
  • 上次关机之前的日志是无法查看的
 mkdir /var/log/journal
    chgrp systemd-journal /var/log/journal/
    chmod g+s /var/log/journal/
    ps aux | grep systemd-journal
    killall -1 systemd-journald  #使进服务重新运行
    ps aux | grep systemd-journal
    ls /var/log/journal/
    cd /var/log/journal/
    ll
    drwxr-sr-x 2 root systemd-journal 27 Nov 11 12:19 946cb0e817ea4adb916183df8c4fc817
  • 看目录的时间,这个时间之后的日志都会记录
2018-10-23 16:39:12 weixin_43067754 阅读数 96

学习目标

  • 理解系统日志
  • 掌握系统系统日志服务管理
  • 日志同步
  • journal 日志分析
  • systemd-journald 服务
  • chronyd 服务
  • timedatectl

1.理解系统日志
进程和操作系统内核需要能够为发生的事件记录日志 , 这些日志可用于系统审核和问题的故障排除 , 一般这些日志永久存储 /var/log 目录中。系统文件记录信息如下表 :

日志文件 					用途
/var/log/messages 			#大多数系统日志信息记录在此处
/var/log/secure 			#安全和身份认证相关的消息和错误的日志文件
/var/log/maillog 			#与邮件服务器相关的日志文件
/var/log/cron 				#与定时任务相关的日志文件
/var/log/boot.log 			#与系统启动有关的日志文件

2.rsyslog的管理
rsyslog 是一个开源工具 , 被广泛用于 Linux 系统以通TCP/UDP 协议转发或接收日志消息。rsyslog 服务的主配置文件为 /etc/rsyslog.conf 。指定日志保存位置修改配置文件 , 修改后重启 rsyslog 服务生效。

什么类型的日志.什么级别的日志 /var/log/file ##日志采集规则
日志类型为:

auth			##pam产生的日志
authpriv		##ssh,ftp等登陆信息的验证信息
cron			##时间任务相关
kern			##内核
lpr				##打印
mail			##邮件
mark(syslog)-rsyslog 	##服务内部信息,时间标识
news			##新闻组
user			##用户程序产生的相关信息
uucp			##unix to unix copy,unix 主机之间的相关通讯
local 1-7		##自定义的日志设备

日志级别分为:

debug			##有调式信息的,日志信息最多
info			##一般信息的日志,最常用
notice			##最具有重要性的普通条件信息
warning			##警告级别
err				##错误级别,阻止某个功能或模块不能正常工作的信息
crit			##严重级别,阻止整个系统或在整个软件不能正常工作的信息
alert			##需要立刻修改的信息
emerg			##内核崩溃等严重信息
none			##什么都不记录

##注意:从上到下,级别从低到高,记录的信息越来越少

3.日志远程同步

在日志发送方:
vim /etc/rsyslog.conf
*.*  @172.25.254.100  ##@表示udp协议发送,@@表示tcp协议发送
(*.*所有类别的所有日志)
systemctl restart rsyslog

在日志接受方:
vim /etc/rsyslog.conf
15 $ModLoad imudp ##开启接口模块
16 $UDPServerRun 514 ##开启接收端

systemctl restart rsyslog.service 
systemctl stop firewalld.service ##关闭防火墙
systemctl disable firewalld.serv ##设定防火墙开机不启动

测试
在日志发送和接受方都清空日志
> /var/log/messages

在日志发送方
logger test

在发送方和接受方都可以查看到日志
cat /var/log/messages

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

##日志采集的格式##

vim /etc/rsyslog.conf
$template LOGTMT,"%timegenerated% %FROMHOST-IP% %syslogtag% %msg%\n"
%timegenerated%  	#显示日志时间
%FROMHOST-IP%	#显示主机IP
%syslogtag%		##日志记录目标
%msg%			#日志内容


*.*                                          /var/log/westos;LOGFMT
systemctl restart rsyslog.service
在日志发送方:
	logger test
在日志接受方:
	cat /var/log/westos

在这里插入图片描述
在这里插入图片描述

4.时间同步服务
服务名称
chronyd

##在服务端
vim /etc/chronyd.conf
22 allow 172.25.254.0/24		##允许哪些客户端来同步本机时间
29 local stratun 10		##本机不同步任何主机的时间,本机作为时间源

systemctl restart chronyd.service 

##在客户端
 vim /etc/chrony.conf 
server 172.25.254.203 iburst		#本机立即同步203这台主机的时间

systemctl restart chronyd.service 

##测试:
#在客户端
[root@client ~]# chronyc sources -v #查看是否同步成功
210 Number of sources = 1

  .-- Source mode  '^' = server, '=' = peer, '#' = local clock.
 / .- Source state '*' = current synced, '+' = combined , '-' = not combined,
| /   '?' = unreachable, 'x' = time may be in error, '~' = time too variable.
||                                                 .- xxxx [ yyyy ] +/- zzzz
||                                                /   xxxx = adjusted offset,
||         Log2(Polling interval) -.             |    yyyy = measured offset,
||                                  \            |    zzzz = estimated error.
||                                   |           |                         
MS Name/IP address         Stratum Poll Reach LastRx Last sample
===============================================================================
^* 172.25.254.203               10   6   377    19   +280us[ -105us] +/-  172us

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

##timedatectl 管理系统时间命令##

timedatectl ##管理系统时间
timedatectl set-time ##设定当前时间
timedatectl set-timezone ##设定当前时区
timedatectl set-local-rtc 0|1 ##设定是否使用utc时间
timedatectl list-timezone ##查看支持的所有时区
timedatectl set-time "2018-11-11 11:11:11"

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

5.journal命令
1.journalctl ##日志查看工具

journalctl  -n 3 		##查看最近3条日志
			-p err 		##查看错误日志
			-o verbose  ##查看日志的详细参数
journalctl --since "2018-10-23 03:00" --until "2018-10-23 03:20" ###查看从什么时间开始的日志到什么时间为止的日志

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

2.如何使用systemd-journal 保存系统日志
默认情况下 ,systemd 日志保存在 /run/log/journal 中 , 这意味着系统重启时会被清除 , 那如果将日志保存在 /var/log/journal 目录 , 这样做的优点是启动后就可以利用历史数据 , 形成永久日志。

mkdir /var/log/journal
chgrp systemd-journal /var/log/journal
chmod g+s /var/log/journal
ps aux | grep systemd-journal 	 ##查看所有进程中有关systemd-journal的
killall -1 systemd-journald 	 ##进程重新加载配置
ls /var/log/journal

946cb0e817ea4adb916183df8c4fc817
在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

2019-10-22 22:21:31 weixin_45029822 阅读数 26

Linux的系统日志

当守护进程工作时,它们将任务的详细信息记录进日志文件中,作为它们做过什么的“历史”信息。这些守护进程的工作内容涵盖从使用原子钟同步时钟到管理网络连接。所有这些都被记录进日志文件,这样当有错误发生时,你可以通过查阅特定的日志文件来看出发生了什么。

日志采集 rsyslog

进程和操作系统内核需要能够为发生的事情记录日志,这些日志可用于系统的审核和问题的故障排除,一般这些日志永久的储存在 /var/log 目录中。

日志采集目录

日志文件 用途
/var/log/messages 服务信息日志,大多数系统日志信息记录在此
/var/log/secure 系统登陆日志,安全和身份认证系相关的信息和错误的日志文件
/var/log/cron 邮件日志,与邮件服务器相关的日志文件
/var/log/maillog 定时任务日志,与定时任务相关的日志文件
/var/log/boot.log 系统启动日志

rsyslog 服务

rsyslog 是一个开源的工具,负责采集日志和分类存放日志,被广泛用于 Linux 系统以 TCP/UDP 协议转发或接收日志的消息
rsyslog 服务的主配置文件为 /etc/rsyslog.conf

日志采集规则

vim /etc/rsyslog.conf       打开日志采集的配置文件

* . *                /var/log/westos

第一个星号表示日志的类别,第二个星号表示日志的级别
在这里插入图片描述

日志类别

auth pam产生的日志
authpriv ssh,ftp等登陆信息的验证信息
cron 时间任务相关
kern 内核
lpr 打印
mail 邮件
mark(syslog)-rsyslog 服务内部的信息,时间标识
news 新闻组
user 用户程序产生的相关信息
uucp unix to unix copy,unix主机之间相关的通讯
local 1~7 自定义的日志设备

日志级别

debug 有调试信息的,日志信息最多
info 一般信息的日志,最常用
notice 最具有重要性的普通条件的信息
warning 警告级别
err 错误级别,阻止某个功能或者模块不能正常工作的信息
crit 严重级别,阻止整个系统或者整个软件不能正常工作的信息
alert 需要立刻修改的信息
emerg 内核崩溃等严重信息
none 什么都不记录
  • 每次配置完文件后,一定要重启服务才能生效
systemctl restart rsyslog.service   ##重启日志服务
  • 从上到下,级别从低到高,记录的信息越来越少

  • 详细的可以查看手册:man 3 syslog

日志的远程同步

发送端配置

vim /etc/rsyslog.conf    配置日志采集文件

在这里插入图片描述
将所有类型所有级别的日志同步到ip地址为172.25.254.xxx的主机中,
@ip表示采用UDP的传输协议同步,@@表示采用TCP的方式传输协议进行同步

接收端配置

vim /etc/rsyslog.conf    配置日志采集文件

在这里插入图片描述
去掉15、16行的注释符

如果采用TCP传输协议同步,需要去掉19、20行的注释符
在这里插入图片描述
每次设置完成必须重启日志服务,关闭防火墙,使配置生效

systemctl restart rsyslog.service      重启日志服务
systemctl stop firewalld.service       关闭防火墙
systemctl disable firewalld.service    关闭防火墙开机自启

清空日志内容,并指定日志内容,分别在接收端额发送端查看

> /var/log/messages    清空日志文件
logger test          指定文件test到日志中

在这里插入图片描述

日志采集格式的设定

 vim /etc/rsyslog.conf     打开配置文件,设定采集格式

格式设定的内容

%timegenerated% 显示日志时间
%FROMHOST-IP% 显示主机ip
%syslogtag% 显示记录目标
%msg% 日志内容
\n 换行

在这里插入图片描述

systemctl restart rsyslog.service      重启日志服务

在这里插入图片描述
在这里插入图片描述

系统时间调整工具 timedatectl

timedatectl 管理系统时间
timedatectl status 显示当前时间信息
timedatectl set-timezone “Asia/Shanghai” 设置当前时区,更改当前时区分为东8区
timedatectl set-time “2016-08-08 12:12” 设置当前时间
timedatectl set-local-rtc 0/1 设置是否使用utc时间
timedatectl list-timezones 查看支持的时区
timedatectl                                      管理系统时间
timedatectl status                               显示当前时间信息
timedatectl set-timezone "Asia/Shanghai"         设置当前时区,更改当前时区分为东8区 
timedatectl set-time "2016-08-08 12:12"          设置当前时间
timedatectl set-local-rtc 0/1                    设置是否使用utc时间
timedatectl list-timezones                       查看支持的时区
 timedatectl status                              显示当前时间信息

在这里插入图片描述

timedatectl set-timezone "Asia/Hong_Kong"         设置当前时区,更改当前时区为香港的时区

在这里插入图片描述

timedatectl set-local-rtc 0/1                    设置是否使用utc时间

在这里插入图片描述

timedatectl list-timezones                       查看支持的时区

在这里插入图片描述

时间同步服务 chronyd

在服务端打开 vim /etc/chrony.conf 时间同步配置文件,配置相关参数

允许指定ip或者网络位相同的的客户端来同步本机时间
在这里插入图片描述
设定服务端的时间优先级为10(本机不同步任何主机的时间,本机作为时间源)
在这里插入图片描述
在客户端打开 vim /etc/chrony.conf 时间同步配置文件,配置相关参数
server 172.25.254.205 iburst ##本机立即同步205主机的时间
在这里插入图片描述

完成后重启服务

systemctl restart chronyd.service   重启时间同步服务

在这里插入图片描述

查看内存中的日志 journalctl

journalctl -n 5 查看最近5条日志
journalctl -p err 查看错误日志
journalctl -o verbose 查看日志的详细参数
journalctl --since “: 查看从**:**开始的日志
journalctl --until “: 查看到**:**为止的日志
journalctl -n 5                   查看最近5条日志

在这里插入图片描述

journalctl -p err                 查看错误日志

在这里插入图片描述

 journalctl -o verbose             查看日志的详细参数

在这里插入图片描述

 journalctl  --since  "00:00"        查看从00:00开始的日志

在这里插入图片描述

  journalctl  --until  "00:02"        查看到00:02为止的日志

在这里插入图片描述

利用 systemd-journalctl 采集日志

mkdir /var/log/journal                        新建一个存放目录
chgrp systemd-journal /var/log/journal        指定目录的所有组为
systemd-journalchmod g+s /var/log/journal     给用户所有组权限
killall -l systemd-journald            
ls /var/log/journal                    
stat /var/log/journal/946cb0e817ea4adb916183df8c4fc817 
reboot                                        重启虚拟机
ls /var/log/journal                    
stat /var/log/journal/946cb0e817ea4adb916183df8c4fc817 

需要注意的是,默认systemd-journald(内存中的日志)不保存到硬盘中
所以关机后再次开机只能看到本次开机之后的日志,上一次关机之前的日志是无法查看的

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

Linux日志系统

阅读数 76

没有更多推荐了,返回首页