Linux学习总结（二十九）系统日志

Posted 2020-10-28

系统日志记录了系统每天发生的各种各样的事情，比如检测系统状况，检测服务的启动状况，用户的登陆情况等。我们可以通过日志找出某个错误发生的原因，或者追踪到攻击者留下的蛛丝马迹。

1 /var/log/messages

它是核心系统日志文件，包含了系统启动时的引导信息，以及系统运行时的其他状态信息。I/O错误、网络错误和其他系统错误都会记录到这个文件中。比如
某个人的身份切换为root，以及用户自定义安装的软件（apache）的日志也会在这里记录。
该日志文件时做故障诊断第一要检查的文件。许多应用的状态信息都要记录在此，为了让我们查找方便，系统启动了一个日志轮询的机制，每星期切换一个日志，切换后的日志名字类似于messages-20170322，会存放在/var/log/目录下面，连同message一共有5个这样的日志文件。这里的20170322就是切割日志的标识日期，通过logrotate工具实现，它的配置文件为/etc/logrotate.conf
先看下message文件

/var/log /message 是由rsyslogd这个守护进程产生的，如果停止该服务，系统将不会产生该日志，所以该服务不要停止。rsyslogd服务的配置文件为/etc/rsyslog.conf.这个文件定义日志的级别。该文件不要轻易修改。

2 dmesg

该命令可以显示系统的启动信息，比如你的硬盘或者网卡有问题，用该命令可以看到，
可以尝试用 dmesg |grep error 找到对应记录。该打印信息没有记录在日志里，只存在于当前内存中

3 安全日志

last命令用来查看登陆linux的历史信息，具体用法如下：
last |head

从左往右依次为：账户名称，登陆终端，登陆客户端ip，登陆日期，登出时间，驻留时长。
该命令的输出信息实际上市读取了二进制文件/var/log/wtmp,当然不能用cat直接查看。
另外/var/log/secure 也是和登陆信息相关的日志文件。该文件记录验证和授权方面的信息。比入ssh登陆系统成功或失败时，相关的信息都会记录在此。
以后要养成随时查看日志的习惯，比如当apache启动失败时，就可以更具日志查找原因。

4 xargs 与 exec

这二者都能替代一个命令的输出结果，exec主要是个find一起配合使用。
xargs 用作替换工具，读取输入数据重新格式化后输出

echo "hello ,world" > a.txt
ls a.txt |xargs cat

如果xargs 后面的命令要带双选项，则用-i 选项，示例如下：
find ./ -name "*txt" |xargs -i mv {} b.txt

exec 应用
找出当前目录创建时间大于10天的文件并删除
find ./ -mtime +10 -exec rm -rf {} \;
批量更改文件名：

5 screen 工具

为了不让一个任务意外中断
nohup command &
screen是一个虚拟终端
yum install -y screen 没有的话安装一下
screen直接回车就进入了虚拟终端
ctral a组合键再按d退出虚拟终端，但不是结束
screen -ls 查看虚拟终端列表
screen -r id 进入指定的终端，退出虚拟终端用exit
screen -S lv 指定名称创建一个虚拟终端
screen -r lv 用名称登陆