2014-10-18 回答
以下介绍的是20个位于/var/log/ 目录之下的日志文件。其中一些只有特定版本采用，如dpkg.log只能在基于debian的系统中看到。
/var/log/messages — 包括整体系统信息，其中也包含系统启动期间的日志。此外，mail，cron，daemon，kern和auth等内容也记录在var/log/messages日志中。
/var/log/dmesg — 包含内核缓冲信息(kernel ring buffer)。在系统启动时，会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。
/var/log/auth.log — 包含系统授权信息，包括用户登录和使用的权限机制等。
/var/log/boot.log — 包含系统启动时的日志。
/var/log/daemon.log — 包含各种系统后台守护进程日志信息。
/var/log/dpkg.log – 包括安装或dpkg命令清除软件包的日志。
/var/log/kern.log – 包含内核产生的日志，有助于在定制内核时解决问题。
/var/log/lastlog — 记录所有用户的最近信息。这不是一个ascii文件，因此需要用lastlog命令查看内容。
/var/log/maillog /var/log/mail.log — 包含来着系统运行电子邮件服务器的日志信息。例如，sendmail日志信息就全部送到这个文件中。
/var/log/user.log — 记录所有等级用户信息的日志。
/var/log/xorg.x.log — 来自x的日志信息。
/var/log/alternatives.log – 更新替代信息都记录在这个文件中。
/var/log/btmp – 记录所有失败登录信息。使用last命令可以查看btmp文件。例如，”last -f /var/log/btmp | more“。
/var/log/cups — 涉及所有打印信息的日志。
/var/log/anaconda.log — 在安装linux时，所有安装信息都储存在这个文件中。
/var/log/yum.log — 包含使用yum安装的软件包信息。
/var/log/cron — 每当cron进程开始一个工作时，就会将相关信息记录在这个文件中。
/var/log/secure — 包含验证和授权方面信息。例如，sshd会将所有信息记录(其中包括失败登录)在这里。
/var/log/wtmp或/var/log/utmp — 包含登录信息。使用wtmp可以找出谁正在登陆进入系统，谁使用命令显示这个文件或信息等。
/var/log/faillog – 包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。
除了上述log文件以外， /var/log还基于系统的具体应用包含以下一些子目录：
/var/log/httpd/或/var/log/apache2 — 包含服务器access_log和error_log信息。
/var/log/lighttpd/ — 包含light httpd的access_log和error_log。
/var/log/mail/ –  这个子目录包含邮件服务器的额外日志。
/var/log/prelink/ — 包含.so文件被prelink修改的信息。
/var/log/audit/ — 包含被 linux audit daemon储存的信息。
/var/log/samba/ – 包含由samba存储的信息。
/var/log/sa/ — 包含每日由sysstat软件包收集的sar文件。
/var/log/sssd/ – 用于守护进程安全服务。
除了手动存档和清除这些日志文件以外，还可以使用logrotate在文件达到一定大小后自动删除。可以尝试用vi，tail，grep和less等命令查看这些日志文件。

有时候我们需要对线上用户操作记录进行历史记录待出现问题追究责任人，，但Linux系统自带的history命令用户有自行删除权限，那怎么设置可以让用户的操作记录实时记录，并保证普通用户无权删除呢？本文教你一招
1.mkdir -p /usr/local/domob/records/
chmod 777 /usr/local/domob/records/
chmod +t /usr/local/domob/records/
2.vi /etc/profile 在最后添加下面的代码
if [ ! -d  /usr/local/domob/records/${LOGNAME} ]
then
mkdir -p /usr/local/domob/records/${LOGNAME}
chmod 300 /usr/local/domob/records/${LOGNAME}
fi
export HISTORY_FILE="/usr/local/domob/records/${LOGNAME}/bash_history"
export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'
http://68idc.cn/help/server/linux/2014042190951.html
转载于:https://blog.51cto.com/907832555/2314268

要想恢复的话，前提是没有重启nginx服务。
首先要来介绍下/proc目录。
/proc　是一个虚拟的目录，不占用实际的存储空间，其实存在于系统的内存中。其实以文件系统的方式为访问系统内核的操作提供接口，是动态从系统内核当中读取所需信息的。
下面就介绍下回复步骤，模拟下恢复的过程。但是前提是没有重启ｎｇｉｎｘ服务
１，备份nginx的error日志，然后删除error日志
２，查看nginx的pid，然后到/proc/pid/fd  目录下
可以看到文件名：2(昨天测试的)，3   他们的链接指向是errorlog，但是后面会显示已deleted了。我们用tail看下能看到3还在不停的在刷日志
3，我们直接把文件3重定向到errorlog就可恢复nginx的日志了。
具体的想看进程打开了哪些文件，可以使用lsof命令。
至此，nginx日志已经恢复，恢复以后看到好像不会继续往error.log 里面继续写日志了，需要重启下。不知道这个重启是不是必须的。知道可以留言告知下。其他的文件也可以按照此方法来试试。
谢谢

我在测试机上搭建了 一个linux 11.2.0.1.0的RAC，但是我发现一个问题，在我的RAC根本没有新的数据写入，每天空跑的情况下，操作系统的磁盘空间却一天比一天少，最后终于磁盘空间变成了0。
我很纳闷，我的数据库只是在open的状态下，没有任何数据写入的情况下，怎么磁盘空间会变少呢？
我想应该是数据库的日志造成的空间减少，于是我写了如下定期删除oracle日志的脚本，执行完后释放空间1个G。
大家帮我看看，我这个删除oracle日志的脚本是否合理，哪里需要改动，是否还有需要添加的，谢谢。
[root@node1 ~]# cat a.sh
#!/bin/bash
find /u01/app/oracle/diag/rdbms/devdb/devdb1/trace -name '*.tr*' -exec rm {} \;
rm -rf /u01/app/oracle/diag/rdbms/devdb/devdb1/trace/cdmp_*
rm -rf /u01/app/oracle/diag/rdbms/devdb/devdb1/alert/log_*.xml
rm -rf /u01/app/oracle/diag/tnslsnr/node1/listener/alert/log_*.xml
rm -rf /u01/app/oracle/diag/rdbms/devdb/devdb1/incident/incdir_*
##############
rm -rf /u01/app/11.2.0/grid/log/node1/agent/ohasd/oraagent_grid/oraagent_grid.l0?
rm -rf /u01/app/11.2.0/grid/log/node1/agent/ohasd/oraagent_grid/oraagent_grid.l1?
rm -rf /u01/app/11.2.0/grid/log/node1/agent/crsd/oraagent_grid/oraagent_grid.l0?
rm -rf /u01/app/11.2.0/grid/log/node1/agent/crsd/oraagent_grid/oraagent_grid.l1?
rm -rf /u01/app/11.2.0/grid/log/node1/cssd/ocssd.l0?
rm -rf /u01/app/11.2.0/grid/log/node1/cssd/ocssd.l1?
rm -rf /u01/app/11.2.0/grid/log/node1/gpnpd/gpnpd.l0?
rm -rf /u01/app/11.2.0/grid/log/node1/gpnpd/gpnpd.l1?
cd /u01/app/11.2.0/grid/rdbms/audit
find . -name '*.aud' -exec rm {} \;
##########################
cd /u01/app/oracle/diag/tnslsnr/node1/listener/trace
cat /dev/null >listener.log
cd /u01/app/11.2.0/grid/log/diag/tnslsnr/node1/listener_scan1/trace
cat /dev/null >listener_scan1.log
cd  /u01/app/oracle/product/11.2.0/db_1/owb/log/
rm -rf OWBSYS*.log
rm -rf /u01/app/oracle/admin/devdb/adump/*.aud
cd /u01/app/11.2.0/grid/log/diag/tnslsnr/node1/listener_scan1/alert
rm -rf log_*.xml