Linux系统日志文件

日志文件系统

内核及系统日志由系统服务 rsyslog 统一管理，主配置文件为/etc/rsyslog.conf
Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下。

常用日志文件位置

内核和公共消息日志：

/var/log/messages：记录Linux内核消息及各种应用程序的公共日志信息，包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。

计划任务日志：

/var/log/cron：记录crond计划任务产生的事件信息。

系统引导日志：

/var/log/dmesg：记录Linux系统在引导过程中的各种事件信息。

邮件系统日志：

/var/log/maillog：记录进入或发出系统的电子邮件活动。

用户登录日志：

/var/log/secure：记录用户认证相关的安全事件信息。

/var/log/lastlog：记录每个用户最近的登录事件。二进制格式

/var/log/wtmp：记录每个用户登录、注销及系统启动和停机事件。二进制格式

/var/run/btmp：记录失败的、错误的登录尝试及验证事件。二进制格式

Linux系统日志消息优先级别

（数字等级越小，优先级越高，消息越重要）

公共日志文件的记录格式

文件位置：/var/log/messages

1. 时间标签：消息发出的日期和时间。

2. 主机名：生成消息的计算机的名称。

3. 子系统名称：发出消息的应用程序的名称。

4. 消息：消息的具体内容。

一、基础概述

1. 文件数据包括元信息与实际数据
2. 文件存储在硬盘上，硬盘最小存储单位是“扇区”，每个扇区存储512字节

（1）block 块

连续的八个扇区组成的一个block 是文件存取的最小单位

（2）inode 索引节点

中文译名为“索引节点”也叫 i节点

二、inode

（1）inode包含文件的元信息

文件时间戮 文件group ID 文件的字节数 文件拥有者的User ID 文件的可读、写入、执行权限

（2）系统文件三个时间属性

操作系统用inode号来识别不同文件 对于使用者来说，文件名只是inode号便于识别的别名

ctime              //最后一次改变文件或目录（属性）的时间
atime              //最后一次访问文件或目录的时间
mtime              //最后一次修改文件或目录（内容）的时间
## 4）查看inode号

（3）查看inode号

ls命令
ls -i 文件名        //查看文件名对应的inode号
stat命令
stat 文件名         //查看文件inode信息中的inode号