Linux日志文件

linux 日志文件

配置文件格式

设备名.级别；设备名.级别 位置 （级别和位置中间要用tab隔开）

日志级别

emerge
alert
crit
err
warning
notice
info
debug

mail.err mail级别等于或者高于err,就记录日志
mail.=err mail级别等于err,才记录日志
* 表示所有的日志设备和日志级别
none 表示忽略全部！
deamon.* 表示把所有级别的日志发送到daemon设备
*.emerge 表示把emerg级别的日志发送到所有设备
kern.none 表示忽略所有的内核日志

常用的日志位置
文件名 ： 把日志信息保存到本地的文件中，文件必须要给出绝对路径
* ： 把日志信息发送给所有当前有用户登录的终端上
用户列表： 把日志信息发送给某些用户，用户名之间用，隔开
/dev/console； 把日志信息发送到控制台
@主机名或IP 把日志信息发送到远程主机，由远程主机的syslogd进程接受
|<程序名>： 把日志信息通过管道发给另一个程序

日志的转储：
logrotate :转储，压缩，删除，备份

登陆日志：

/var/log/lastlog lastlog命令查看
/var/log/wtmp who命令查看，当前在线用户信息
/var/run/utmp w命令查看

记账功能，记录用户使用过的命令 安装 psacct

日志存储位置：/var/accout/pacct
启动方法;
service psacct start
/etc/rc.d/init.d/psacct start
accton /var/account/pacct

停止方法：
accton 不带任何参数

查看命令 lastcomm 基于/var/account/pacct

/usr/bin/sa 可以把以前执行过的命令曾经占用多少CPU时间的信息统计出来，并且
提供了系统资源的消费信息，对于鉴别某些占用大量CPU时间的可疑命令十分有用
基于/var/account/pacct

/usr/bin/ac 基于/var/log/wtmp 统计用户在线时间,以小时为单位
ac
ac -d
ac -p

日志分析工具

logcheck 基于crond 定期分析日志

swatch ；CPAN 用了很多perl模块
从http://www.cpan.org 下载perl模块