2018-04-23 《鸟哥的Linux私房菜 基础学习篇(第四版)》 第19章 认识与分析日志文件

常见的日志文件：
/var/log/boot.log                有
/var/log/cron                有
/var/log/dmesg                有
/var/log/lastlog                有
/var/log/maillog 或 /var/log/mail/*    有，mail没有
/var/log/messages                有
/var/log/secure                有
/var/log/wtmp, /var/log/faillog    有，faillog没有
/var/log/httpd/*, /var/log/samba/*    没有，samba有
    /var/log/目录下文件每条记录格式：
     事件发生的日期与时间;
     发生此事件的主机名;
     启动此事件的服务名称 (如 systemd, CROND 等) 或指令与函式名称 (如 su, login..);
     该讯息的实际数据内容。


针对日志文件所需的功能,我们需要的服务与程序有:
 systemd-journald.service
最主要的讯息收受者,由 systemd 提供的。
记录在开机过程中的所有信息,包括启动服务与服务若启动失败的情况等等，放置于内存中，重新启动过后,开机前的日志文件信息不会被记载。
配置文件主要参考 /etc/systemd/journald.conf 的内容

 rsyslog.service
主要日志系统与网络等服务的讯息。为了加入 systemd 的控制,因此 rsyslogd 的开发者设计的启动服务脚本设定!
绝对路径：/usr/lib/systemd/system/rsyslog.service。
     rsyslogd：服务。为了要达成实际上进行讯息的分类所开发的一套软件,所以,这就是最基本的 daemon 程序!用来记录以前及现在的所以数据到磁盘文件中。针对各种服务与讯息记录在某些文件的配置文件:/etc/rsyslog.conf。/etc/rsyslog.conf文件的格式为“服务名称[.=!]讯息等级    讯息记录的文件名或装置或主机”
     syslog 这个是 Linux 核心所提供的登录档设计指引,所有的要求大概都写入道一个名为 syslog.h 的头文件案中。如果你想要开发与登录文件有关的软件, 那你就得要依循这个 syslog 函数的要求去设计才行!可以使用 man 3 syslog 去查询一下相关的数据!

 logrotate
主要在进行日志文件的轮替功能。
参数配置文件：
    /etc/logrotate.conf。主要的参数文件。格式为：
        登录文件的绝对路径文件名 ... {
            个别的参数设定值,如 monthly, compress 等等
        }
        发现：/etc/logrotate.conf文件中的wtmp为：记录正确登入系统者的帐户信息
    /etc/logrotate.d/。该目录里面的所有文件都会被主动的读入 /etc/logrotate.conf 当中

待做：文件关系图


journalctl    命令：观察登录信息，查阅systemd-journald.service 的数据
实际运行与书本中不一样：
No journal files were found.
-- No entries --

logger 命令