摘要：Linux系统的架构基础就是文件，日志消息也一个个文件存在的。日志是记录系统运行过程中各种重要信息的文件，在系统运行过程中由各进程创建并记录。而日志的作用是记录系统的运行过程及异常信息，为快速定位系统运行中出现的问题及开发过程中的程序调试问题提供详细信息。

本文主要介绍Linux系统日志文件的使用经验及审计功能总结，详细内容请参考下文。

一、日志文件的功能和分类

说明：日志属于内核的一部分。在启动的过程当中，文件系统是后加载。但没加载文件系统的话则数据无法进行处理，无法将文件系统加载之前的数据进行关联。而内核日志是调用内核时产生的日志消息，会单独存放在内核日志当中。

1、日志的功能

用于记录系统、程序运行中发生的各种事件。

通过阅读日志，有助于诊断和解决系统故障日志。

2、文件的分类

（1）、内核及系统日志：由系统 syslog 统一进行管理，日志格式基本相似；

（2）、用户日志/服务日志：记录系统用户登录及退出系统的相关信息。比如系统启动时必须要有的服务信息-ssh/dhcp等；

（3）、程序日志：由各种应用程序独立管理的日志文件，记录格式不统一。（额外下载的程序）

二、日志文件保存位置和文件介绍

说明：Linux操作系统本身和大部分服务器程序的日志文件都默认放在目录/var/log/下。一部分程序共用一个日志文件，一部分程序使用单个日志文件，而有些大型服务器程序由于日志文件不止一个，所以会在/var/log/目录中建立相应的子目录来存放日志文件，这样既保证了日志文件目录的结构清晰，又可以快速定位日志文件。有相当一部分日志文件只有root用户才有权限读取,这保证了相关日志信息的安全性。Linux日志文件常用的保存方式-->回滚切割，将日志分割为一部分一部分来进行存储，这样子的好处是单个日志文件量不会很大，加载速度不会很慢，也方便查看。

1、日志文件保存位置

2、日志文件介绍

比如执行指令# tail -f /var/log/messages可以查看内核及公共消息日志

备注：tail -f表示显示最后/最近的十条消息（用于报错时的检查）。

三、日志记录的一般格式

说明：看消息日志：（tail -f表示显示最后的十条消息）

基本解读：①时间 ②主机名 ③服务/进程 ④消息

四、日志消息的级别

说明：Linux系统的日志消息级别如下：

五、补充知识

说明：Linux查看日志的命令有多种: tail、cat、head、echo等，本文介绍两种常用的方法tail和head。

1、tail命令

tail命令是查看日志文件信息基本指令。有多种参数可以使用。其使用方法如下：

备注：tail命令一般会配合grep使用，如下所示

tail -fn 100 test.log | grep 'error'

2、head命令

head命令，跟tail是相反的head是看前多少行日志。