Linux 日誌基礎

一些最為重要的 Linux 系統日誌包括：

• /var/log/syslog 或 /var/log/messages 存儲所有的全局系統活動數據，包括開機信息。基於 Debian 的系統如 Ubuntu 在 /var/log/syslog 中存儲它們，而基於 RedHat 的系統如 RHEL 或 CentOS 則在 /var/log/messages 中存儲它們。
• /var/log/auth.log 或 /var/log/secure 存儲來自可插拔認證模塊(PAM)的日誌，包括成功的登錄，失敗的登錄嘗試和認證方式。Ubuntu 和 Debian 在 /var/log/auth.log 中存儲認證信息，而 RedHat 和 CentOS 則在 /var/log/secure 中存儲該信息。
• /var/log/kern 存儲內核的錯誤和警告數據，這對於排除與定製內核相關的故障尤為實用。
• /var/log/cron 存儲有關 cron 作業的信息。使用這個數據來確保你的 cron 作業正成功地運行著。

Digital Ocean 有一個關於這些文件的完整教程，介紹了 rsyslog 如何在常見的發行版本如 RedHat 和 CentOS 中創建它們。

應用程序也會在這個目錄中寫入日誌文件。例如像 Apache，Nginx，MySQL 等常見的伺服器程序可以在這個目錄中寫入日誌文件。其中一些日誌文件由應用程序自己創建，其他的則通過 syslog (具體見下文)來創建。

什麼是 Syslog？

Linux 系統日誌文件是如何創建的呢？答案是通過 syslog 守護程序，它在 syslog 套接字 /dev/log 上監聽日誌信息，然後將它們寫入適當的日誌文件中。

單詞「syslog」 代表幾個意思，並經常被用來簡稱如下的幾個名稱之一：

1. Syslog 守護進程 — 一個用來接收、處理和發送 syslog 信息的程序。它可以遠程發送 syslog 到一個集中式的伺服器或寫入到一個本地文件。常見的例子包括 rsyslogd 和 syslog-ng。在這種使用方式中，人們常說「發送到 syslog」。
2. Syslog 協議 — 一個指定日誌如何通過網路來傳送的傳輸協議和一個針對 syslog 信息(具體見下文) 的數據格式的定義。它在 RFC-5424 中被正式定義。對於文本日誌，標準的埠是 514，對於加密日誌，埠是 6514。在這種使用方式中，人們常說「通過 syslog 傳送」。
3. Syslog 信息 — syslog 格式的日誌信息或事件，它包括一個帶有幾個標準欄位的消息頭。在這種使用方式中，人們常說「發送 syslog」。

Syslog 信息或事件包括一個帶有幾個標準欄位的消息頭，可以使分析和路由更方便。它們包括時間戳、應用程序的名稱、在系統中信息來源的分類或位置、以及事件的優先順序。

下面展示的是一個包含 syslog 消息頭的日誌信息，它來自於控制著到該系統的遠程登錄的 sshd 守護進程，這個信息描述的是一次失敗的登錄嘗試：

<34>1 2003-10-11T22:14:15.003Z server1.com sshd - - pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2

Syslog 格式和欄位

每條 syslog 信息包含一個帶有欄位的信息頭，這些欄位是結構化的數據，使得分析和路由事件更加容易。下面是我們使用的用來產生上面的 syslog 例子的格式，你可以將每個值匹配到一個特定的欄位的名稱上。

<%pri%>%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msgid% %msg%n

下面，你將看到一些在查找或排錯時最常使用的 syslog 欄位：

時間戳

時間戳 (上面的例子為 2003-10-11T22:14:15.003Z) 暗示了在系統中發送該信息的時間和日期。這個時間在另一系統上接收該信息時可能會有所不同。上面例子中的時間戳可以分解為：

• 2003-10-11 年，月，日。
• T 為時間戳的必需元素，它將日期和時間分隔開。
• 22:14:15.003 是 24 小時制的時間，包括進入下一秒的毫秒數(003)。
• Z 是一個可選元素，指的是 UTC 時間，除了 Z，這個例子還可以包括一個偏移量，例如 -08:00，這意味著時間從 UTC 偏移 8 小時，即 PST 時間。

主機名

主機名 欄位(在上面的例子中對應 server1.com) 指的是主機的名稱或發送信息的系統.

應用名

應用名 欄位(在上面的例子中對應 sshd:auth) 指的是發送信息的程序的名稱.

優先順序

優先順序欄位或縮寫為 pri (在上面的例子中對應 ) 告訴我們這個事件有多緊急或多嚴峻。它由兩個數字欄位組成：設備欄位和緊急性欄位。緊急性欄位從代表 debug 類事件的數字 7 一直到代表緊急事件的數字 0 。設備欄位描述了哪個進程創建了該事件。它從代表內核信息的數字 0 到代表本地應用使用的 23 。

Pri 有兩種輸出方式。第一種是以一個單獨的數字表示，可以這樣計算：先用設備欄位的值乘以 8，再加上緊急性欄位的值：(設備欄位)(8) + (緊急性欄位)。第二種是 pri 文本，將以「設備欄位.緊急性欄位」 的字元串格式輸出。後一種格式更方便閱讀和搜索，但佔據更多的存儲空間。

via: http://www.loggly.com/ultimate-guide/logging/linux-logging-basics/

作者：Jason Skowronski，Amy Echeverri，Sadequl Hussain 譯者：FSSlc 校對：wxy

本文由 LCTT 原創翻譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive