Linux日志文件格式分析

2024-08-27 23:56:32

字體：大中小

來源：轉載

供稿：網友

只要是由日志服務 rsyslogd 記錄的日志文件，它們的格式就都是一樣的。所以我們只要了解了日志文件的格式，就可以很輕松地看懂日志文件。

日志文件的格式包含以下 4 列：

事件產生的時間。
產生事件的服務器的主機名。
產生事件的服務名或程序名。
事件的具體信息。

我們查看一下 /var/log/secure 日志，這個日志中主要記錄的是用戶驗證和授權方面的信息，更加容易理解。命令如下：

[root@localhost ~]# vi /var/log/secure
Jun 5 03：20：46 localhost sshd[1630]：Accepted password for root from 192.168.0.104 port 4229 ssh2
# 6月5日 03：20：46 本地主機 sshd服務產生消息：接收從192.168.0.104主機的4229端口發起的ssh連接的密碼
Jun 5 03：20：46 localhost sshd[1630]：pam_unix(sshd：session)：session opened for user root by (uid=0)
#時間本地主機 sshd服務中pam_unix模塊產生消息：打開用戶root的會話（UID為0）
Jun 5 03：25：04 localhost useradd[1661]：new group：name=bb， GID=501
#時間本地主機 useradd命令產生消息：新建立bb組，GID為501
Jun 5 03：25：04 localhost useradd[1661]：new user：name=bb， UID=501， GID=501， home=/home/bb， shell=/bin/bash
Jun 5 03：25：09 localhost passwd：pam_unix(passwd：chauthtok)：password changed for bb

我截取了一段日志的內容，注釋了其中的三句日志，剩余的兩句日志大家可以看懂了嗎？其實分析日志既是重要的系統維護工作，也是一項非常枯燥和煩瑣的工作。如果我們的服務器出現了一些問題，比如系統不正常重啟或關機、用戶非正常登錄、服務無法正常使用等，則都應該先查詢日志。

實際上，只要感覺到服務器不是很正常就應該查看日志，甚至在服務器沒有什么問題時也要養成定時查看系統日志的習慣。

上一篇：rsyslogd配置文件格式及其內容詳解

下一篇：Linux日志文件（常見）及其功能