日志管理与故障排查全解析
1. 日志管理基础
在日志管理中,日志名称前的减号(-)能防止文件每次更改时都进行同步。通常,日志消息写入时会先存于 RAM,然后立即添加到磁盘文件中。而使用减号后,消息虽会保存至 RAM,但要等到下一次常规的 RAM 与磁盘同步时才会写入磁盘。
在指定要记录的消息类型时,*、!和=字符非常有用。*可用于指定所有消息源或所有消息类型,!表示否定,在消息类型前指定!*意味着不记录后续的消息类型。
默认情况下,主系统日志为/var/log/messages。根据运行的服务和syslogd的配置,可能还会有其他系统日志,如/var/log/wtmp、/var/log/utmp和/var/log/lastlog。这些日志包含用户信息,供不同的实用工具使用,具体用途如下表所示:
| Log File | Contents |
| — | — |
| /var/log/wtmp | 包含每个用户的登录时间和会话时长;由last命令使用 |
| /var/log/utmp | 包含当前登录用户的信息;由who、w和finger命
入门)