Linux日志文件在/var/log目录下，可以通过命令查看日志文件。 1，cat messages可以查看某个日志文件。 2，要达到实时更新，可以通过tail命令查看更新的数据，例如tail -f messages。 3，tail命令参数： -f 循环读取 -q 不显示处理信息 -v 显示详细的处理信息 -c 显示的字节数 -n 显示行数 –pid=PID 与-f合用,表示在进程ID,PID死掉之后结束. -q, --quiet, --silent 从不输出给出文件名的首部 -s, --sleep-interval=S 与-f合用,表示在每次反复的间隔休眠S秒。

日志类型

下面是常见的日志类型，但并不是所有的Linux发行版都包含这些类型：

类型 说明 auth 用户认证时产生的日志，如login命令、su命令。 authpriv 与 auth 类似，但是只能被特定用户查看。 console 针对系统控制台的消息。 cron 系统定期执行计划任务时产生的日志。 daemon 某些守护进程产生的日志。 ftp FTP服务。 kern 系统内核消息。 local0.local7 由自定义程序使用。 lpr 与打印机活动有关。 mail 邮件日志。 mark 产生时间戳。系统每隔一段时间向日志文件中输出当前时间，每行的格式类似于 May 26 11:17:09 rs2 – MARK --，可以由此推断系统发生故障的大概时间。 news 网络新闻传输协议(nntp)产生的消息。 ntp 网络时间协议(ntp)产生的消息。 user 用户进程。 uucp UUCP子系统。

日志优先级

常见的日志优先级请见下标：

优先级 说明 emerg 紧急情况，系统不可用（例如系统崩溃），一般会通知所有用户。 alert 需要立即修复，例如系统数据库损坏。 crit 危险情况，例如硬盘错误，可能会阻碍程序的部分功能。 err 一般错误消息。 warning 警告。 notice 不是错误，但是可能需要处理。 info 通用性消息，一般用来提供有用信息。 debug 调试程序产生的信息。 none 没有优先级，不记录任何日志消息。 常用日志文件

系统日志是由一个名为syslog的服务管理的，如以下日志文件都是由syslog日志服务驱动的：

/var/log/boot.log：录了系统在引导过程中发生的事件，就是Linux系统开机自检过程显示的信息

/var/log/lastlog ：记录最后一次用户成功登陆的时间、登陆IP等信息

/var/log/messages ：记录Linux操作系统常见的系统和服务错误信息

/var/log/secure ：Linux系统安全日志，记录用户和工作组变坏情况、用户登陆认证情况

/var/log/btmp ：记录Linux登陆失败的用户、时间以及远程IP地址

/var/log/syslog：只记录警告信息，常常是系统出问题的信息，使用lastlog查看

/var/log/wtmp：该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件，使用last命令查看

/var/run/utmp：该日志文件记录有关当前登录的每个用户的信息。如 who、w、users、finger等就需要访问这个文件

/var/log/syslog 或 /var/log/messages 存储所有的全局系统活动数据，包括开机信息。基于 Debian 的系统如 Ubuntu 在 /var/log/syslog 中存储它们，而基于 RedHat 的系统如 RHEL 或 CentOS 则在 /var/log/messages 中存储它们。 /var/log/auth.log 或 /var/log/secure 存储来自可插拔认证模块(PAM)的日志，包括成功的登录，失败的登录尝试和认证方式。Ubuntu 和 Debian 在 /var/log/auth.log 中存储认证信息，而 RedHat 和 CentOS 则在 /var/log/secure 中存储该信息。