银河麒麟系统使用日志文件能够解决哪些问题

​​

银河麒麟系统的日志文件存放在/var/log目录，包括/var/log/syslog、/var/log/auth.log、/var/log/dmesg等内容。其中，/var/log/syslog是主要的日志文件。

01 主要日志文件介绍

/var/log/alternatives.log：更新替代信息都记录在这个文件中。

/var/log/auth.log：包含系统授权信息，包括用户登录和使用的权限机制等。

/var/log/boot.log：包含系统启动时的日志。使用文本编辑器打不开，需要使用cat等命令打开查看。

/var/log/BTmp：记录所有失败登录信息。使用last命令可以查看btmp文件。

/var/log/dmesg：包含内核缓冲信息（kernel ring buffer）。在系统启动时，会在屏幕上显示许多与硬件有关的信息。

/var/log/dpkg.log：包括安装或dpkg命令清除软件包的日志。

/var/log/faillog：包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。使用faillog命令查看。

/var/log/fontconfig.log：与字体配置有关的log。

/var/log/kern.log：包含内核产生的日志，有助于在定制内核时解决问题。

/var/log/kysec.log：kysec信息都记录在这个文件中。

/var/log/lastlog：记录所有用户的最近信息。用lastlog命令查看内容。

/var/log/syslog：包含整体系统信息，其中也包含系统启动期间的日志。此外，cron、daemon、kern和auth等内容也记录在内。

/var/log/wtmp：包含登录信息。使用last命令可以找出谁正在登录进入系统，谁使用命令显示这个文件或信息等。

/var/log/Xorg.0.log：这个日志文件记录了与 Xorg 服务器相关的各种信息，如启动过程、硬件检测、显示配置、输入设备（鼠标、键盘等）的识别和初始化等诸多方面的详细情况。

/var/log/apt/：用apt-get安装卸载软件的信息。

/var/log/audit/：包含被 Linux audit daemon储存的信息。

/var/log/cups/：涉及所有打印信息的日志。

/var/log/lightdm/：包含lighdm图形化桌面的相关日志。

/var/log/sssd/：用于守护进程安全服务。

02 主要日志文件作用

系统监控：通过分析这些日志文件，管理员可以监控系统的运行状态，及时发现并处理潜在的问题。

故障排查：当系统出现故障时，日志文件是排查问题的重要依据。通过查看相关日志，可以追踪到故障发生的原因和过程。

安全审计：一些日志文件（如auth.log、wtmp、faillog等）记录了用户登录和操作的信息，对于安全审计和合规性检查非常重要。

性能优化：通过分析系统日志中的资源使用情况，可以发现性能瓶颈并进行相应的优化。

总的来说，银河麒麟系统的日志文件存放在/var/log目录下，包含了多种类型的日志文件，用于记录系统的各种运行信息。这些日志文件对于系统监控、故障排查、安全审计和性能优化等方面都具有重要的作用。

03 快速定位潜在问题和异常情况

在系统日志监控中，通过以下关键字快速定位潜在的问题或异常：

1.基本错误关键字：

fail：表示操作失败。

error：表示出现错误。

fatal：表示致命错误，通常会导致程序或系统崩溃。

critical：表示严重问题，需要立即关注。

2.系统状态关键字：

read-only：表示文件系统或数据库可能已设置为只读模式，这可能是由于磁盘故障或维护操作。

Firmware hang detected：表示固件挂起，可能是硬件问题。

down：表示某个服务、进程或设备已停止运行。

blocked for more than 120 seconds：表示某个进程或操作被阻塞超过指定时间，可能是资源争用或死锁。

3.数据损坏关键字：

Corruption：表示数据损坏或不一致。

4.内存问题关键字：

Out of memory：表示内存不足，可能导致系统性能下降或进程崩溃。

5.内核错误关键字：

kernel.*segfault：表示内核段错误，通常是内存访问违规。

kernel.*general protection：表示内核一般保护错误，通常是权限问题。

kernel.*page allocation failure：表示内核页面分配失败，可能是内存不足或内存管理问题。

6.特定设备关键字：

dev fd0：表示特定的设备（如软驱fd0）可能存在问题。注意，这个关键字需要根据实际使用的设备进行调整。

04 举几个例子

1. 使用 last -f 命令查看btmp和wtmp。

last -f /var/log/btmp

​​

last -f /var/log/wtmp

​​

2. 使用 last + grep 命令查看wtmp文件中的特定用户登录和系统启动等相关信息。

last -f /var/log/wtmp | grep ht

​​

3. 使用lastlog命令查看lastlog文件，显示用户最近登录记录。

sudo lastlog

​​

显示特定用户最近登录记录。

sudo lastlog -u ht

​​

4. 使用faillog命令查询faillog文件，显示所有曾经有过登录失败记录的用户信息。

sudo faillog

​​

5. 使用cat命令查看系统启动日志。

sudo cat /var/log/boot.log

​​

​如果想要将boot.log的内容保存到另一个文件中进行后续分析，可以使用重定向操作，并将 bootlog_copy.txt 保存到用户目录下。​

sudo cat /var/log/boot.log > bootlog_copy.txt

6. 查看分析 syslog 日志文件

sudo cat /var/log/syslog | grep error

​​