/var/log/{syslog,dmesg,messages} 日志文件的差异

Question

哪些文件用于哪些日志？理由是什么？

Answer 1

/var/日志

来自系统和各种程序/服务的日志文件，尤其是登录（/var/log/wtmp，将所有登录和注销记录到系统中）和系统日志（/var/log/messages，其中所有内核和系统程序消息通常是存储）。/var/log 中的文件通常会无限增长，并且可能需要定期清理。现在通常通过日志轮换实用程序（例如“logrotate”）管理的内容。此实用程序还允许自动旋转压缩、删除和邮寄日志文件。Logrotate 可以设置为每天、每周、每月或在日志文件达到一定大小时处理日志文件。通常，logrotate 作为每日 cron 作业运行。这是开始解决一般技术问题的好地方。

• /var/log/messages – 包含全局系统消息，包括系统启动期间记录的消息。/var/log/messages 中记录了几项内容，包括邮件、cron、守护进程、kern、auth 等。
• /var/log/dmesg – 包含内核环形缓冲区信息。当系统启动时，它会在屏幕上打印一些消息，显示有关内核在启动过程中检测到的硬件设备的信息。这些消息在内核环形缓冲区中可用，每当新消息出现时，旧消息就会被覆盖。您还可以使用 dmesg 命令查看此文件的内容。
• /var/log/auth.log – 包含系统授权信息，包括使用的用户登录和身份验证机制。
• /var/log/boot.log – 包含系统启动时记录的信息
• /var/log/daemon.log – 包含由系统上运行的各种后台守护程序记录的信息
• /var/log/dpkg.log – 包含使用 dpkg 命令安装或删除软件包时记录的信息
• /var/log/kern.log – 包含内核记录的信息。有助于您对定制内核进行故障排除。*/var/log/lastlog – 显示所有用户的最近登录信息。这不是一个 ascii 文件。您应该使用 lastlog 命令来查看此文件的内容。
• /var/log/mail.log – 包含来自系统上运行的邮件服务器的日志信息。例如，sendmail 将有关所有已发送项目的信息记录到此文件中
• /var/log/user.log – 包含有关所有用户级日志的信息
• /var/log/Xorg.x.log – 来自 X 的日志消息
• /var/log/alternatives.log – update-alternatives 的信息记录到此日志文件中。在 Ubuntu 上，update-alternatives 维护确定默认命令的符号链接。
• /var/log/btmp – 此文件包含有关失败登录尝试的信息。使用last命令查看btmp文件。例如，“last -f /var/log/btmp | 更多的”
• /var/log/cups – 所有打印机和打印相关的日志消息
• /var/log/anaconda.log – 安装 Linux 时，所有与安装相关的消息都存储在此日志文件中
• /var/log/yum.log – 包含使用 yum 安装软件包时记录的信息
• /var/log/cron – 每当 cron 守护进程（或 anacron）启动 cron 作业时，它会在此文件中记录有关 cron 作业的信息
• /var/log/secure – 包含与身份验证和授权权限相关的信息。例如，sshd 会在此处记录所有消息，包括未成功登录。
• /var/log/wtmp 或 /var/log/utmp – 包含登录记录。使用 wtmp 您可以找出谁登录到系统。who 命令使用此文件显示信息。
• /var/log/faillog – 包含用户失败的登录尝试。使用faillog 命令显示该文件的内容。除了上述日志文件，/var/log 目录还可能包含以下子目录，具体取决于系统上运行的应用程序。
• /var/log/httpd/（或）/var/log/apache2 – 包含 apache 网络服务器 access_log 和 error_log
• /var/log/lighttpd/ – 包含轻量级 HTTPD access_log 和 error_log
• /var/log/conman/ – ConMan 客户端的日志文件。conman 连接由 conmand 守护程序管理的远程控制台。
• /var/log/mail/ – 此子目录包含来自邮件服务器的其他日志。例如，sendmail 将收集到的邮件统计信息存储在 /var/log/mail/statistics 文件中
• /var/log/prelink/ – 预链接程序修改共享库和链接的二进制文件以加快启动过程。/var/log/prelink/prelink.log 包含有关由预链接修改的 .so 文件的信息。
• /var/log/audit/ – 包含由 Linux 审计守护进程 (auditd) 存储的日志信息。
• /var/log/setroubleshoot/ – SELinux 使用 setroubleshootd（SE Trouble Shoot Daemon）来通知文件安全上下文中的问题，并将这些信息记录在此日志文件中。
• /var/log/samba/ – 包含 samba 存储的日志信息，用于将 Windows 连接到 Linux。
• /var/log/sa/ – 包含由 sysstat 包收集的每日 sar 文件。
• /var/log/sssd/ – 由管理远程访问的系统安全服务守护进程使用

Answer 2

不同版本的 Linux 的处理方式有所不同（例如，Ubuntu 比 CentOS/Redhat 创建的文件多得多），并且可以很容易地更改。（查看/etc/syslog.conf或/etc/rsyslog.conf）。

除了不同的服务（可以记录到相同或不同的位置）之外，还有不同级别的日志记录。

这种灵活性背后的基本原理必须是允许系统管理员根据其需求获得适当的平衡 - 例如，如果系统是邮件服务器，则从通用服务器日志中分离传入邮件和传出邮件可能会很有用，以便更容易跟踪某些情况下发生的情况。

同样，如果特定应用程序的行为不符合预期，则可能需要调高调试信息，但您不希望此级别的调试信息与日志混合。

更复杂的是，一些程序（例如fail2ban）监视日志的活动并对其采取行动 - 拥有多个日志可以提供更好的响应能力和更容易的配置。