如果你多數(shù)時間都在使用Linux系統(tǒng)，那么你有必要知道系統(tǒng)的日志文件位于哪里，以及每個日志文件是關(guān)于哪些內(nèi)容的。在系統(tǒng)正常的時候?qū)W習理解各種日志文件的內(nèi)容，有助于在遇到緊急情況時通過日志文件定位問題所在。

/etc/rsyslog.conf文件決定了哪些內(nèi)容會被寫入到對應的日志文件中，例如，這是/var/log/messages再rsyslog.conf中的相關(guān)內(nèi)容：

1

2

$grep"/var/log/messages"/etc/rsyslog.conf

*.info;mail.none;authpriv.none;cron.none/var/log/messages

上述的輸出中：

*.info 表明所有帶有 INFO 標志的日志信息會被記錄。

mail.none,authpriv.none,cron.none 表明這三種錯誤信息不會在messages。

你也可以指定 *.none，這樣將沒有任何日志信息被記錄

接下來我們介紹20個位于/var/log目錄下的日志文件。一些文件值存在于某些發(fā)行版中，例如在Debian系的系統(tǒng)中(如Ubuntu)，你可以找到dpkg.log。

/var/log/messages?– 包含整個系統(tǒng)的信息，包括系統(tǒng)啟動期間被記錄的日志。mail, cron, daemon, kern, auth等相關(guān)的日志信息在這里記錄。

/var/log/dmesg?– 包含內(nèi)核緩沖信息(kernel ring buffer information)。在系統(tǒng)啟動時，屏幕上會顯示關(guān)于內(nèi)核在啟動過程中探測到的硬件設備的信息，這些消息保存再內(nèi)核緩沖區(qū)直到新的消息將它覆蓋。使用dmesg命令可以查看該文件中的內(nèi)容。

/var/log/auth.log?– 包括系統(tǒng)的授權(quán)信息，包括用戶登陸和使用的權(quán)限機制等。

/var/log/boot.log?– 包含系統(tǒng)啟動時記錄的日志。

/var/log/daemon.log?– 包括多種后臺守護進程的日志信息。

/var/log/dpkg.log?– 包括使用dpkg命令安裝或刪除包時記錄的信息。

/var/log/kern.log?– 內(nèi)核記錄的信息。可以幫助定位定制內(nèi)核的問題。(注：在ArchLinux中為kernel.log)

/var/log/lastlog?– 最近所有用戶的登陸信息，這不是一個ascii文件，應該使用lastlog命令來查看文件信息。

/var/log/maillog /var/log/mail.log?– 包含系統(tǒng)中運行的郵件服務的日志。例如sendmail的日志信息都會在這里被記錄。

/var/log/user.log?– 包括所有用戶等級的日志

/var/log/Xorg.x.log?– X系統(tǒng)的日志信息

/var/log/alternatives.log?– 關(guān)于更新替代的信息，Ubuntu中，不同的默認命令，會有不同的符號鏈接到對應的文件(？)On Ubuntu, update-alternatives maintains symbolic links determining default commands.

/var/log/btmp?– 包含嘗試登陸失敗的信息，使用last 命令查看，例如 “l(fā)ast -f /var/log/btmp | more”

/var/log/cups?– 所有的打印機和打印相關(guān)的

/var/log/anaconda.log?– 存儲安裝相關(guān)的信息

/var/log/yum.log?– 使用yum安裝包時的相關(guān)信息

/var/log/cron?– ?每當cron守護進程(或anacron)開始cron定時操作時，都會將日志信息記錄再這里。

/var/log/secure?– 包含認證和授權(quán)相關(guān)的信息。例如sshd登陸記錄的所有信息，包括失敗的信息。

/var/log/wtmp?或?/var/log/utmp?– 包含登陸記錄。使用wtmp可以查出都有誰登陸過系統(tǒng)，非ASCII文件。who命令通過這個文件來顯示信息。(wtmp 編程)

/var/log/faillog?– 包含用戶的失敗登陸嘗試，使用faillog命令顯示文件內(nèi)容。非ASCII文件。

除了以上的日志文件，/var/log目錄也包含一些子目錄，這取決于你系統(tǒng)上運行的應用

/var/log/httpd/?或?/var/log/apache2?– 包括apache web服務器的access_log 和 error_log信息

/var/log/lighttpd/?– 包含lighthttpd的access_log 和 error_log信息

/var/log/conman/?– ConMan客戶端的日志文件。(ConMan是一個console manager，需要有conmand守護進程運行)。

/var/log/mail/?– 包含郵件服務的額外日志。例如，sendmain會收集郵件的統(tǒng)計信息保存在/var/log/mail/statistics文件中

/var/log/prelink/?– 預鏈接(prelink program)修改(modifies? )已共享的庫文件以及已鏈接的二進制文件來加速啟動新的進程。/var/log/prelink/prelink.log 包含被prelink修改過的.so文件的信息。

/var/log/audit/?– 包含 Linux audit daemon (auditd).存儲的信息(？)

/var/log/setroubleshoot/?– SELinux使用setroubleshootd (SE Trouble Shoot Daemon) 來通告關(guān)于文件的安全上下文問題，這里存儲其日志信息。

/var/log/samba/?– Samba的日志信息, Samba用來能使Windows連接到Linux的共享內(nèi)容

/var/log/sa/?– 包含sysstat軟件包收集的每天的sar文件。

/var/log/sssd/?– 系統(tǒng)安全服務守護進程的相關(guān)日志。它用來管理遠端目錄的訪問和授權(quán)。

除了手工歸檔日志文件，也可以使用logrotate?工具，每幾天或日志文件達到一定大小時自動歸檔?。使用vi，grep，tail，less來查看日志文件，而不是“cat | more”

PS1：查看系統(tǒng)的日志，就像編程的時候查看debug信息一樣，可以更加清楚的了解系統(tǒng)的運行情況。很早就被告知查日志找問題，卻從來沒有去認真了解過應該去哪里查。今天看到這個文章，干脆就給翻譯過來，因為文字水平優(yōu)先，很多語句可能不如原文好理解，如果不排斥英文原文，可以直接看英文原文。

PS2：日志文件似乎跟發(fā)行版等有挺大關(guān)系(其實是發(fā)行版使用的日志記錄軟件不同，如rsyslog和syslog-ng)，加上原日志是2011年的，所以要具體問題具體分析。比如文章開頭的rsyslog.conf，在我的Archlinux中就沒有這個文件，在Debian 6 中可以看到和原文類似的結(jié)果。

總結(jié)

以上是生活随笔為你收集整理的2. linux的日志文件在哪个目录,位于/var/log目录下的20个Linux日志文件的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。