Какие файлы для каких журналов? Каково обоснование?
4 ответа
/ Вар / журнал
Файлы журналов из системы и различных программ / служб, особенно login (/ var / log / wtmp, который регистрирует все входы и выходы из системы) и syslog (/ var / log / messages, где обычно находятся все сообщения ядра и системных программ). сохранены). Файлы в / var / log часто могут расти бесконечно и могут потребовать регулярной очистки. То, что сейчас обычно управляется с помощью утилит ротации журналов, таких как «logrotate». Эта утилита также позволяет автоматически сжимать ротацию, удалять и отправлять файлы журналов. Logrotate может быть настроен для обработки файла журнала ежедневно, еженедельно, ежемесячно или когда файл журнала достигает определенного размера. Обычно logrotate запускается как ежедневная работа cron. Это хорошее место для начала устранения общих технических проблем.
- /var/log/messages - содержит глобальные системные сообщения, включая сообщения, которые регистрируются во время запуска системы. В /var/log/messages записано несколько вещей, включая mail, cron, daemon, kern, auth и т.д.
- /var/log/dmesg - содержит информацию о кольцевом буфере ядра. Когда система загружается, она выводит на экран количество сообщений, отображающих информацию об аппаратных устройствах, которые ядро обнаруживает в процессе загрузки. Эти сообщения доступны в кольцевом буфере ядра, и всякий раз, когда приходит новое сообщение, старое сообщение перезаписывается. Вы также можете просмотреть содержимое этого файла с помощью команды dmesg.
- /var/log/auth.log - содержит информацию об авторизации системы, включая имена пользователей и механизмы аутентификации, которые были использованы.
- /var/log/boot.log - содержит информацию, которая регистрируется при загрузке системы
- /var/log/daemon.log - содержит информацию, зарегистрированную различными фоновыми демонами, работающими в системе
- /var/log/dpkg.log - содержит информацию, которая регистрируется при установке или удалении пакета с помощью команды dpkg
- /var/log/kern.log - содержит информацию, зарегистрированную ядром. Полезно для устранения неполадок с ядром, созданным на заказ. * /var/log/lastlog - отображает информацию о последних входах в систему для всех пользователей. Это не файл ASCII. Вы должны использовать команду lastlog для просмотра содержимого этого файла.
- /var/log/mail.log - содержит информацию журнала с почтового сервера, работающего в системе. Например, sendmail записывает информацию обо всех отправленных элементах в этот файл
- /var/log/user.log - содержит информацию обо всех журналах уровня пользователя
- /var/log/Xorg.x.log - Журнал сообщений от X
- /var/log/alternatives.log - информация об альтернативах обновления регистрируется в этом файле журнала. В Ubuntu update-alternatives поддерживает символические ссылки, определяющие команды по умолчанию.
- /var/log/btmp - этот файл содержит информацию о неудачных попытках входа в систему. Используйте последнюю команду для просмотра файла btmp. Например, «последний -f /var/log/btmp | Больше"
- /var/log/cups - все сообщения журнала, связанные с принтером и печатью
- /var/log/anaconda.log - при установке Linux все связанные с установкой сообщения сохраняются в этом файле журнала.
- /var/log/yum.log - содержит информацию, которая регистрируется при установке пакета с использованием yum
- /var/log/cron - всякий раз, когда демон cron (или anacron) запускает задание cron, он записывает информацию о задании cron в этот файл
- /var/log/secure - содержит информацию, связанную с привилегиями аутентификации и авторизации. Например, sshd регистрирует все сообщения здесь, включая неудачный вход в систему.
- /var/log/wtmp или /var/log/utmp - содержит записи для входа. С помощью wtmp вы можете узнать, кто вошел в систему. Команда who использует этот файл для отображения информации.
- /var/log/faillog - содержит неудачные попытки входа пользователя. Используйте команду faillog для отображения содержимого этого файла. Помимо перечисленных выше файлов журналов, каталог /var/log может также содержать следующие подкаталоги в зависимости от приложения, работающего в вашей системе.
- /var/log/httpd / (или) /var/log/ apache2 - содержит веб-сервер apache access_log и error_log
- /var/log/ lighttpd / - содержит легкие HTTPD access_log и error_log
- /var/log/ conman / - файлы журнала для клиента ConMan. conman подключает удаленные консоли, которые управляются демоном conmand.
- /var/log/ mail / - Этот подкаталог содержит дополнительные журналы с вашего почтового сервера. Например, sendmail хранит собранную почтовую статистику в файле /var/log/ mail / statistics
- /var/log/ prelink / - программа prelink изменяет общие библиотеки и связанные двоичные файлы для ускорения процесса запуска. /var/log/prelink/prelink.log содержит информацию о файле .so, который был изменен с помощью предварительной ссылки.
- /var/log/ audit / - содержит информацию журналов, хранящуюся в демоне аудита Linux (auditd).
- /var/log/ setroubleshoot / - SELinux использует setroubleshootd (SE Trouble Shoot Daemon) для уведомления о проблемах в контексте безопасности файлов и регистрирует эту информацию в этом файле журнала.
- /var/log/ samba / - содержит информацию журнала, хранящуюся в samba, которая используется для подключения Windows к Linux.
- /var/log/ sa / - содержит ежедневные файлы sar, которые собираются пакетом sysstat.
- /var/log/ sssd / - использовать системными службами безопасности, которые управляют доступом к удаленным
В разных версиях Linux это обрабатывается по-разному [Ubuntu создает гораздо больше файлов, чем, например, CentOS/Redhat], и может быть довольно легко изменено. (Посмотрите /etc/syslog.conf или /etc/rsyslog.conf).
В дополнение к различным службам (которые могут быть зарегистрированы в одном и том же или разных местах) существуют различные уровни ведения журнала.
Обоснование этой гибкости должно состоять в том, чтобы позволить системным администраторам получить правильный баланс для своих нужд - например, если система является почтовым сервером, может быть полезно отделить входящую и исходящую почту от общих журналов сервера, чтобы сделать Отслеживание происходящего в определенных случаях проще.
Точно так же, если конкретное приложение работает не так, как ожидалось, запуск отладочной информации может быть желательным, но вы не хотите, чтобы этот уровень отладочной информации смешивался с вашими журналами.
Это усугубляется тем, что некоторые программы (например, fail2ban) отслеживают журналы активности и действуют на них - наличие нескольких журналов обеспечивает лучшую скорость отклика и упрощает настройку.
Да, они очень важны для исправления ошибок, если у вас есть проблемы с пользовательским приложением, ядром, оборудованием или оболочкой, которые вы можете использовать
cat /usr /log /syslog | хвост
это покажет всю ошибку
и если вы хотите с проблемой ядра и управления оборудованием, используйте
Dmesg | хвост
Общее соглашение:
- системный журнал: все
- сообщения: общие события, нет отладочной информации, исключены некоторые ошибки
- dmesg: сообщения ядра, сброс при каждой загрузке.