Linux日志（一）

竹子开花的时

　　Linux日志记录了系统每天所发生的事件，用户可以通过日志文件检查错误产生的原因，或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是：审核和监测
Linux系统的日志分为两类：
1.进程所属日志
由用户进程或其他系统服务进程自行生成的日志，比如服务器上的access_log和error_log日志文件
2.syslog文件
系统syslog记录的日志，任何希望记录日志的系统进程和用户进程都可以给调用syslog来记录日志
日志系统可以分为三个子系统：
1.连接时间日志--，由多个程序执行，把日志写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使管理员能够了解谁在何时登陆过系统。
2.进程统计--由系统内核执行，在每个 进程终止时，为每个进程往进程统计文件（pacct或acct）中添加一天记录，进程统计的目的是为系统中的基本服务提供命令使用统计的。
3.错误日志-- 由syslog（8）执行，各种守护进程、用户进程和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件
日志文件的查看
grep命令查看特定的消息
每一行表示一个消息，并且有四个域的固定格式组成
n 时间标签，表示事件发生的时间和日期
n 主机名（hostname），表示生成消息的主机名，如果只是一台计算机可能无所谓，但要是在网络中使用syslog，有可能会把不同主机的消息，发送到同一台服务器来处理。
n 生成消息的子系统，可以是内核或者是进程，
n 消息，这一部分就是生成消息的内容了
例：
Jan 05 21:55:51 localhost kernel: [drm] Initialized i830 1.3.2 20021108 on minor
0
Jan 05 21:55:51 localhost kernel: mtrr: base(0xf0000000) is not aligned on a siz
e(0x12c000) boundary
Jan 05 21:56:35 localhost  1月 28 21:56:35 gdm(pam_unix)[4079]: session opened f
or user root by (uid=0)
Jan 05 21:56:39 localhost  1月 28 21:56:39 gconfd (root-4162): 正在启动（版本 2.
2.0），pid 4162 用户"root"