鸟哥私房菜第19章——认识和分析日志文件

1，日志记录系统在什么时候由哪个进程做了什么样的事情。日志文件可以解决系统方面的错误、解决网络服务的问题、过往事件记录薄。
2，日志文件可以帮助我们了解很多系统重要的事件，包括登陆者的部分信息，因此日志文件的权限通常是设置为仅有root才能够读取而已。日志文件一般放在目录/var/log下。
日志是怎么产生的呢？有两种方式，一种是由软件开发商自行定义写入的日志文件与相关格式。另一种是由Linux distribution提供的日志文件管理服务来统一管理，你只要将这个信息丢给这个服务后，它就会自己分门别类地将各种信息放置到相关的日志文件去。
3，syslogd记录日志文件的服务
一般来说经过syslog而记录下来的数据中，每条信息均会记录下面的几条重要数据：
1)事件发生的日期与时间；2)发生此事件的主机名；3)启动此事件的服务名称或函数名称；4）该信息的实际数据内容
syslog的配置文件：/etc/syslog.conf
这个文件规定了什么服务的什么等级信息以及需要被记录在哪里这三个东西。
4，日志文件的轮替logrotate
主要功能就是将旧的日志文件移动成旧文件，并且重新新建一个新的空的文件来记录。
syslog利用的是daemon的方式来启动的，当有需求的时候立刻就会被执行，但是logrotate却是在规定的时间之后才来进行日志文件的轮替，所以这个logrotate程序当然就是挂在cron下面进行的。
既然logrotate 主要是针对日志文件来进行轮替的操作，所以，它当然必须要记载在什么状态下才将日志文件进行轮替的设置。那么logrotate这个程序的参数配置文件在/etc/logrotate.conf和/etc/logrotate.d中。
logrotate.conf里面的内容规定了多久进行一次logrotate操作。
5，可以使用命令logwatch来分析日志文件