Linux日志怎么創(chuàng)建？

　　Linux日志可以由用戶創(chuàng)建，也可以由系統(tǒng)自動(dòng)創(chuàng)建。Linux日志里記錄著系統(tǒng)運(yùn)行的狀態(tài)和一些程序的重要參數(shù)。本文就來介紹一下Linux日志是怎么創(chuàng)建的。

　　Linux 系統(tǒng)日志

　　許多有價(jià)值的日志文件都是由 Linux 自動(dòng)地為你創(chuàng)建的。你可以在 /var/log 目錄中找到它們。下面是在一個(gè)典型的 Ubuntu 系統(tǒng)中這個(gè)目錄的樣子：

　　一些最為重要的 Linux 系統(tǒng)日志包括：

　　1、/var/log/syslog 或 /var/log/messages 存儲(chǔ)所有的全局系統(tǒng)活動(dòng)數(shù)據(jù)，包括開機(jī)信息�；�于 Debian 的系統(tǒng)如 Ubuntu 在 /var/log/syslog 中存儲(chǔ)它們，而基于 RedHat 的系統(tǒng)如 RHEL 或 CentOS 則在 /var/log/messages 中存儲(chǔ)它們。

　　2、/var/log/auth.log 或 /var/log/secure 存儲(chǔ)來自可插拔認(rèn)證模塊（PAM）的日志，包括成功的登錄，失敗的登錄嘗試和認(rèn)證方式。Ubuntu 和 Debian 在 /var/log/auth.log 中存儲(chǔ)認(rèn)證信息，而 RedHat 和 CentOS 則在 /var/log/secure 中存儲(chǔ)該信息。

　　3、/var/log/kern 存儲(chǔ)內(nèi)核的錯(cuò)誤和警告數(shù)據(jù)，這對(duì)于排除與定制內(nèi)核相關(guān)的故障尤為實(shí)用。

　　4、/var/log/cron 存儲(chǔ)有關(guān) cron 作業(yè)的信息。使用這個(gè)數(shù)據(jù)來確保你的 cron 作業(yè)正成功地運(yùn)行著。

　　Digital Ocean 有一個(gè)關(guān)于這些文件的完整教程，介紹了 rsyslog 如何在常見的發(fā)行版本如 RedHat 和 CentOS 中創(chuàng)建它們。

　　應(yīng)用程序也會(huì)在這個(gè)目錄中寫入日志文件。例如像 Apache，Nginx，MySQL 等常見的服務(wù)器程序可以在這個(gè)目錄中寫入日志文件。其中一些日志文件由應(yīng)用程序自己創(chuàng)建，其他的則通過 syslog （具體見下文）來創(chuàng)建。

　　什么是 Syslog？

　　Linux 系統(tǒng)日志文件是如何創(chuàng)建的呢？答案是通過 syslog 守護(hù)程序，它在 syslog 套接字 /dev/log 上監(jiān)聽日志信息，然后將它們寫入適當(dāng)?shù)娜罩疚募�中�?/p>

　　單詞“syslog” 代表幾個(gè)意思，并經(jīng)常被用來簡(jiǎn)稱如下的幾個(gè)名稱之一：

　　1.Syslog 守護(hù)進(jìn)程 — 一個(gè)用來接收、處理和發(fā)送 syslog 信息的程序。它可以遠(yuǎn)程發(fā)送 syslog 到一個(gè)集中式的服務(wù)器或?qū)懭氲揭粋�(gè)本地文件。常見的例子包括 rsyslogd 和 syslog-ng。在這種使用方式中，人們常說“發(fā)送到 syslog”。

　　2.Syslog 協(xié)議 — 一個(gè)指定日志如何通過網(wǎng)絡(luò)來傳送的傳輸協(xié)議和一個(gè)針對(duì) syslog 信息（具體見下文） 的數(shù)據(jù)格式的定義。它在 RFC-5424 中被正式定義。對(duì)于文本日志，標(biāo)準(zhǔn)的端口是 514，對(duì)于加密日志，端口是 6514。在這種使用方式中，人們常說“通過 syslog 傳送”。

　　3.Syslog 信息 — syslog 格式的日志信息或事件，它包括一個(gè)帶有幾個(gè)標(biāo)準(zhǔn)字段的消息頭。在這種使用方式中，人們常說“發(fā)送 syslog”。

　　Syslog 信息或事件包括一個(gè)帶有幾個(gè)標(biāo)準(zhǔn)字段的消息頭，可以使分析和路由更方便。它們包括時(shí)間戳、應(yīng)用程序的名稱、在系統(tǒng)中信息來源的分類或位置、以及事件的優(yōu)先級(jí)。

　　下面展示的是一個(gè)包含 syslog 消息頭的日志信息，它來自于控制著到該系統(tǒng)的遠(yuǎn)程登錄的 sshd 守護(hù)進(jìn)程，這個(gè)信息描述的是一次失敗的登錄嘗試：

　　1.《34》1 2003-10-11T22:14:15.003Z server1.com sshd - - pam_unix（sshd:auth）： authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2

　　Syslog 格式和字段

　　每條 syslog 信息包含一個(gè)帶有字段的信息頭，這些字段是結(jié)構(gòu)化的數(shù)據(jù)，使得分析和路由事件更加容易。下面是我們使用的用來產(chǎn)生上面的 syslog 例子的格式，你可以將每個(gè)值匹配到一個(gè)特定的字段的名稱上。

　　1.《%pri%》%protocol-version% %timestamp：：：date-rfc3339% %HOSTNAME% %app-name% %procid% %msgid% %msg%n

　　下面，你將看到一些在查找或排錯(cuò)時(shí)最常使用的 syslog 字段：

　　時(shí)間戳

　　時(shí)間戳 （上面的例子為 2003-10-11T22:14:15.003Z） 暗示了在系統(tǒng)中發(fā)送該信息的時(shí)間和日期。這個(gè)時(shí)間在另一系統(tǒng)上接收該信息時(shí)可能會(huì)有所不同。上面例子中的時(shí)間戳可以分解為：

　　1、2003-10-11 年，月，日。

　　2、T 為時(shí)間戳的必需元素，它將日期和時(shí)間分隔開。

　　3、22:14:15.003 是 24 小時(shí)制的時(shí)間，包括進(jìn)入下一秒的毫秒數(shù)（003）。

　　4、Z 是一個(gè)可選元素，指的是 UTC 時(shí)間，除了 Z，這個(gè)例子還可以包括一個(gè)偏移量，例如 -08:00，這意味著時(shí)間從 UTC 偏移 8 小時(shí)，即 PST 時(shí)間。

　　主機(jī)名

　　主機(jī)名 字段（在上面的例子中對(duì)應(yīng) server1.com） 指的是主機(jī)的名稱或發(fā)送信息的系統(tǒng)。

　　應(yīng)用名

　　應(yīng)用名 字段（在上面的例子中對(duì)應(yīng) sshd:auth） 指的是發(fā)送信息的程序的名稱。

　　優(yōu)先級(jí)

　　優(yōu)先級(jí)字段或縮寫為 pri （在上面的例子中對(duì)應(yīng) ） 告訴我們這個(gè)事件有多緊急或多嚴(yán)峻。它由兩個(gè)數(shù)字字段組成：設(shè)備字段和緊急性字段。緊急性字段從代表 debug 類事件的數(shù)字 7 一直到代表緊急事件的數(shù)字 0 。設(shè)備字段描述了哪個(gè)進(jìn)程創(chuàng)建了該事件。它從代表內(nèi)核信息的數(shù)字 0 到代表本地應(yīng)用使用的 23 。

　　Pri 有兩種輸出方式。第一種是以一個(gè)單獨(dú)的數(shù)字表示，可以這樣計(jì)算：先用設(shè)備字段的值乘以 8，再加上緊急性字段的值：（設(shè)備字段）（8） + （緊急性字段）。第二種是 pri 文本，將以“設(shè)備字段。緊急性字段” 的字符串格式輸出。后一種格式更方便閱讀和搜索，但占據(jù)更多的存儲(chǔ)空間。

　　以上就是Linux日志創(chuàng)建過程的介紹了，學(xué)會(huì)了創(chuàng)建Linux日志的過程，就能更好地掌握Linux日志查看和Linux日志分析。