带我浏览 Linux 日志文件（请）

Question

我只是尝试在 gedit 中加载一个 2MB 的文件，它默默地死在我身上。我想知道日志文件中是否会出现任何可以帮助我诊断的内容：我检查syslog并发现它存在段错误。在这样做时，我意识到我对 *nix 机器上的日志记录是如何组织的一无所知。

我所知道的就是

1. 日志通常存储在/var/log/...还有其他地方我应该知道吗？

2. 我熟悉特定于应用程序的日志，例如 apache 的。

3. 我知道这dmesg是启动日志，syslog是一般系统日志......是吗？编辑：鲍比说dmesg也是通用的……两者有什么区别？

那么有人会介意带我浏览最有用的日志吗？我在最后一点提到的两个日志是唯一的通用日志吗？行首的时髦数字是dmesg什么？启动后的秒数？

请在您的答案中包含您认为可以提高我的理解并帮助我追踪异常情况的任何内容！

TIA

安迪

Answer 1

非常感谢 Pulse 推荐https://help.ubuntu.com/community/LinuxLogFiles。我删掉了一些内容，省略了如何使用syslogd和其他基本命令，留下这个小指南以供将来参考。这是来自一个 Ubuntu 站点，我不知道其他发行版有多少。

系统日志

系统日志主要处理 Ubuntu 系统的功能，不一定与用户添加的其他应用程序有关。示例包括授权机制、系统守护进程、系统消息和包罗万象的系统日志本身，syslog。

授权日志： /var/log/auth.log

授权日志跟踪授权系统的使用、提示输入用户密码的用户授权机制，例如可插拔认证模块 (PAM) 系统、sudo命令、远程登录sshd等。

守护进程日志： /var/log/daemon.log

守护程序日志包含有关正在运行的系统和应用程序守护程序的信息，例如 Gnome 显示管理器守护程序gdm、蓝牙 HCI 守护程序hcid或 MySQL 数据库守护程序mysqld。

调试日志： /var/log/debug

调试日志提供来自 Ubuntu 系统和应用程序的详细调试消息，这些消息以syslogdDEBUG 级别登录。

内核日志： /var/log/kern.log

内核日志提供了来自 Ubuntu Linux 内核的详细消息日志。例如，这些消息可能对排除新内核或定制内核的故障很有用。

内核环缓冲区： dmesg

内核环形缓冲区本身并不是真正的日志文件，而是正在运行的内核中的一个区域，您可以通过该dmesg实用程序查询内核启动消息。要查看消息，请使用：

dmesg | less

默认情况下，系统初始化脚本也/etc/init.d/bootmisc.sh将所有启动消息发送到该文件/var/log/dmesg。

消息日志： /var/log/messages

消息日志包含来自应用程序和系统设施的信息性消息。此日志对于检查来自应用程序的消息输出以及在 INFO 级别记录到syslog/sysklog守护程序的系统设施很有用。

系统日志： /var/log/syslog

默认情况下，系统日志通常包含有关您的 Ubuntu 系统的大量信息。它可能包含其他日志不包含的信息。当您在另一个日志中找不到所需的日志信息时，请查阅系统日志。

应用程序日志

许多应用程序也在/var/log. 如果列出/var/log子目录的内容，您将看到熟悉的名称，例如/var/log/apache2代表 Apache 2 Web 服务器/var/log/samba的日志，或包含 Samba 服务器日志的 。

Apache HTTP 服务器日志： /var/log/apache2

Ubuntu 上 Apache2 的默认安装会创建一个 log 子目录。在这个子目录中有两个日志文件，它们有两个不同的目的：

• /var/log/apache2/access.log - 服务的每个页面和 Web 服务器加载的每个文件的记录。
• /var/log/apache2/error.log - HTTP 服务器报告的所有错误情况的记录

CUPS 打印系统日志： /var/log/cups/error_log

通用 Unix 打印系统 (CUPS) 使用默认日志文件/var/log/cups/error_log来存储信息和错误消息。

Rootkit 猎人日志： /var/log/rkhunter.log

Rootkit Hunter 实用程序 ( rkhunter) 会检查您的 Ubuntu 系统是否存在后门、嗅探器和 Rootkit，这些都是您的系统遭到入侵的迹象。

Samba SMB 服务器日志： /var/log/samba

服务器消息块协议 (SMB) 服务器，Samba 广泛用于在您的 Ubuntu 计算机和其他支持 SMB 协议的计算机之间共享文件。Samba 在子目录中保存了三种不同类型的日志：

• log.nmbd - 与 Samba 的 NETBIOS over IP 功能相关的消息（网络内容）
• log.smbd - 与 Samba 的 SMB/CIFS 功能（文件和打印共享内容）相关的消息
• log.[IP_ADDRESS] - 与来自日志文件名中包含的 IP 地址的服务请求相关的消息。

X11 服务器日志： /var/log/Xorg.0.log

与 Ubuntu 一起使用的默认 X11 窗口服务器是 Xorg X11 服务器。此日志有助于诊断 X11 环境的问题。

非人类可读的日志

在/var/log子目录中找到的一些日志文件被设计为可供应用程序读取，而不必由人类读取。下面是一些例子。

登录失败日志： faillog

位于 的登录失败日志/var/log/faillog实际上是为了由faillog命令解析和显示而设计的。

上次登录日志： lastlog

最后登录日志/var/log/lastlog通常不应由人类解析和检查，而应与lastlog命令结合使用。

登录记录日志： who

该文件/var/log/wtmp包含登录记录，但与/var/log/lastlog上述不同，/var/log/wtmp它不用于显示最近登录的列表，而是由其他实用程序（例如who命令）用于显示当前登录用户的列表。

Answer 2

LinuxHomeNetworking 上有一个入门指南：Quick HOWTO:Ch05:Troubleshooting Linux with syslog。

您可能还喜欢Ubuntu 提示：如何在 GUI 中查看系统日志文件。

在Ubuntu的LinuxLogFiles页面也是一个很好的参考
^{（在评论张贴Pulse在这里另一个答案）。}