银河麒麟系统的日志文件存放在/var/log目录,包括/var/log/syslog、/var/log/auth.log、/var/log/dmesg等内容。其中,/var/log/syslog是主要的日志文件。
01 主要日志文件介绍
/var/log/alternatives.log:更新替代信息都记录在这个文件中。
/var/log/auth.log:包含系统授权信息,包括用户登录和使用的权限机制等。
/var/log/boot.log:包含系统启动时的日志。使用文本编辑器打不开,需要使用cat等命令打开查看。
/var/log/BTmp:记录所有失败登录信息。使用last命令可以查看btmp文件。
/var/log/dmesg:包含内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许多与硬件有关的信息。
/var/log/dpkg.log:包括安装或dpkg命令清除软件包的日志。
/var/log/faillog:包含用户登录失败信息。此外,错误登录命令也会记录在本文件中。使用faillog命令查看。
/var/log/fontconfig.log:与字体配置有关的log。
/var/log/kern.log:包含内核产生的日志,有助于在定制内核时解决问题。
/var/log/kysec.log:kysec信息都记录在这个文件中。
/var/log/lastlog:记录所有用户的最近信息。用lastlog命令查看内容。
/var/log/syslog:包含整体系统信息,其中也包含系统启动期间的日志。此外,cron、daemon、kern和auth等内容也记录在内。
/var/log/wtmp:包含登录信息。使用last命令可以找出谁正在登录进入系统,谁使用命令显示这个文件或信息等。
/var/log/Xorg.0.log:这个日志文件记录了与 Xorg 服务器相关的各种信息,如启动过程、硬件检测、显示配置、输入设备(鼠标、键盘等)的识别和初始化等诸多方面的详细情况。
/var/log/apt/:用apt-get安装卸载软件的信息。
/var/log/audit/:包含被 Linux audit daemon储存的信息。
/var/log/cups/:涉及所有打印信息的日志。
/var/log/lightdm/:包含lighdm图形化桌面的相关日志。
/var/log/sssd/:用于守护进程安全服务。
02 主要日志文件作用
系统监控:通过分析这些日志文件,管理员可以监控系统的运行状态,及时发现并处理潜在的问题。
故障排查:当系统出现故障时,日志文件是排查问题的重要依据。通过查看相关日志,可以追踪到故障发生的原因和过程。
安全审计:一些日志文件(如auth.log、wtmp、faillog等)记录了用户登录和操作的信息,对于安全审计和合规性检查非常重要。
性能优化:通过分析系统日志中的资源使用情况,可以发现性能瓶颈并进行相应的优化。
总的来说,银河麒麟系统的日志文件存放在/var/log目录下,包含了多种类型的日志文件,用于记录系统的各种运行信息。这些日志文件对于系统监控、故障排查、安全审计和性能优化等方面都具有重要的作用。
03 快速定位潜在问题和异常情况
在系统日志监控中,通过以下关键字快速定位潜在的问题或异常:
1.基本错误关键字:
fail:表示操作失败。
error:表示出现错误。
fatal:表示致命错误,通常会导致程序或系统崩溃。
critical:表示严重问题,需要立即关注。
2.系统状态关键字:
read-only:表示文件系统或数据库可能已设置为只读模式,这可能是由于磁盘故障或维护操作。
Firmware hang detected:表示固件挂起,可能是硬件问题。
down:表示某个服务、进程或设备已停止运行。
blocked for more than 120 seconds:表示某个进程或操作被阻塞超过指定时间,可能是资源争用或死锁。
3.数据损坏关键字:
Corruption:表示数据损坏或不一致。
4.内存问题关键字:
Out of memory:表示内存不足,可能导致系统性能下降或进程崩溃。
5.内核错误关键字:
kernel.*segfault:表示内核段错误,通常是内存访问违规。
kernel.*general protection:表示内核一般保护错误,通常是权限问题。
kernel.*page allocation failure:表示内核页面分配失败,可能是内存不足或内存管理问题。
6.特定设备关键字:
dev fd0:表示特定的设备(如软驱fd0)可能存在问题。注意,这个关键字需要根据实际使用的设备进行调整。
04 举几个例子
- 使用 last -f 命令查看btmp和wtmp。
last -f /var/log/btmp
last -f /var/log/wtmp
- 使用 last + grep 命令查看wtmp文件中的特定用户登录和系统启动等相关信息。
last -f /var/log/wtmp | grep ht
- 使用lastlog命令查看lastlog文件,显示用户最近登录记录。
sudo lastlog
显示特定用户最近登录记录。
sudo lastlog -u ht
- 使用faillog命令查询faillog文件,显示所有曾经有过登录失败记录的用户信息。
sudo faillog
- 使用cat命令查看系统启动日志。
sudo cat /var/log/boot.log
如果想要将boot.log的内容保存到另一个文件中进行后续分析,可以使用重定向操作,并将 bootlog_copy.txt 保存到用户目录下。
sudo cat /var/log/boot.log > bootlog_copy.txt
- 查看分析 syslog 日志文件
sudo cat /var/log/syslog | grep error
暂无评论内容