Linux日志怎么創(chuàng)建用什么命令

　　Linux日志里記錄著系統(tǒng)運(yùn)行的狀態(tài)和一些程序的重要參數(shù)。我們可以通過日志來查看許多信息和記錄，很重要的功能，那么具體怎么創(chuàng)建呢?用什么命令?本文就來介紹一下Linux日志是怎么創(chuàng)建的。

　　Linux日志怎么創(chuàng)建?

　　什么是 Syslog?

　　Linux 系統(tǒng)日志文件是如何創(chuàng)建的呢?答案是通過 syslog 守護(hù)程序，它在 syslog 套接字 /dev/log 上監(jiān)聽日志信息，然后將它們寫入適當(dāng)?shù)娜罩疚募小?/p>

　　單詞“syslog” 代表幾個(gè)意思，并經(jīng)常被用來簡稱如下的幾個(gè)名稱之一：

　　1.Syslog 守護(hù)進(jìn)程 — 一個(gè)用來接收、處理和發(fā)送 syslog 信息的程序。它可以遠(yuǎn)程發(fā)送 syslog 到一個(gè)集中式的服務(wù)器或?qū)懭氲揭粋€(gè)本地文件。常見的例子包括 rsyslogd 和 syslog-ng。在這種使用方式中，人們常說“發(fā)送到 syslog”。

　　2.Syslog 協(xié)議 — 一個(gè)指定日志如何通過網(wǎng)絡(luò)來傳送的傳輸協(xié)議和一個(gè)針對(duì) syslog 信息(具體見下文) 的數(shù)據(jù)格式的定義。它在 RFC-5424 中被正式定義。對(duì)于文本日志，標(biāo)準(zhǔn)的端口是 514，對(duì)于加密日志，端口是 6514。在這種使用方式中，人們常說“通過 syslog 傳送”。

　　3.Syslog 信息 — syslog 格式的日志信息或事件，它包括一個(gè)帶有幾個(gè)標(biāo)準(zhǔn)字段的消息頭。在這種使用方式中，人們常說“發(fā)送 syslog”。

　　Syslog 信息或事件包括一個(gè)帶有幾個(gè)標(biāo)準(zhǔn)字段的消息頭，可以使分析和路由更方便。它們包括時(shí)間戳、應(yīng)用程序的名稱、在系統(tǒng)中信息來源的分類或位置、以及事件的優(yōu)先級(jí)。

　　下面展示的是一個(gè)包含 syslog 消息頭的日志信息，它來自于控制著到該系統(tǒng)的遠(yuǎn)程登錄的 sshd 守護(hù)進(jìn)程，這個(gè)信息描述的是一次失敗的登錄嘗試：

　　1.《34》1 2003-10-11T22:14:15.003Z server1.com sshd - - pam_unix(sshd:auth)： authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2

　　Syslog 格式和字段

　　每條 syslog 信息包含一個(gè)帶有字段的信息頭，這些字段是結(jié)構(gòu)化的數(shù)據(jù)，使得分析和路由事件更加容易。下面是我們使用的用來產(chǎn)生上面的 syslog 例子的格式，你可以將每個(gè)值匹配到一個(gè)特定的字段的名稱上。

　　1.《%pri%》%protocol-version% %timestamp：：：date-rfc3339% %HOSTNAME% %app-name% %procid% %msgid% %msg%n

　　下面，你將看到一些在查找或排錯(cuò)時(shí)最常使用的 syslog 字段：

　　時(shí)間戳

　　時(shí)間戳 (上面的例子為 2003-10-11T22:14:15.003Z) 暗示了在系統(tǒng)中發(fā)送該信息的時(shí)間和日期。這個(gè)時(shí)間在另一系統(tǒng)上接收該信息時(shí)可能會(huì)有所不同。上面例子中的時(shí)間戳可以分解為：

　　1、2003-10-11 年，月，日。

　　2、T 為時(shí)間戳的必需元素，它將日期和時(shí)間分隔開。

　　3、22:14:15.003 是 24 小時(shí)制的時(shí)間，包括進(jìn)入下一秒的毫秒數(shù)(003)。

　　4、Z 是一個(gè)可選元素，指的是 UTC 時(shí)間，除了 Z，這個(gè)例子還可以包括一個(gè)偏移量，例如 -08:00，這意味著時(shí)間從 UTC 偏移 8 小時(shí)，即 PST 時(shí)間。

　　主機(jī)名

　　主機(jī)名 字段(在上面的例子中對(duì)應(yīng) server1.com) 指的是主機(jī)的名稱或發(fā)送信息的系統(tǒng)。

　　應(yīng)用名

　　應(yīng)用名 字段(在上面的例子中對(duì)應(yīng) sshd:auth) 指的是發(fā)送信息的程序的名稱。

　　優(yōu)先級(jí)

　　優(yōu)先級(jí)字段或縮寫為 pri (在上面的例子中對(duì)應(yīng) ) 告訴我們這個(gè)事件有多緊急或多嚴(yán)峻。它由兩個(gè)數(shù)字字段組成：設(shè)備字段和緊急性字段。緊急性字段從代表 debug 類事件的數(shù)字 7 一直到代表緊急事件的數(shù)字 0 。設(shè)備字段描述了哪個(gè)進(jìn)程創(chuàng)建了該事件。它從代表內(nèi)核信息的數(shù)字 0 到代表本地應(yīng)用使用的 23 。

　　Pri 有兩種輸出方式。第一種是以一個(gè)單獨(dú)的數(shù)字表示，可以這樣計(jì)算：先用設(shè)備字段的值乘以 8，再加上緊急性字段的值：(設(shè)備字段)(8) + (緊急性字段)。第二種是 pri 文本，將以“設(shè)備字段。緊急性字段” 的字符串格式輸出。后一種格式更方便閱讀和搜索，但占據(jù)更多的存儲(chǔ)空間。

　　補(bǔ)充：系統(tǒng)常用維護(hù)技巧

　　1，在 “開始” 菜單中選擇 “控制面板” 選項(xiàng)，打開 “控制面板” 窗口，單擊 “管理工具” 鏈接

　　2，在打開的 “管理工具” 窗口中雙擊 “事件查看器” 圖標(biāo)

　　3， 接著會(huì)打開 “事件查看器” 窗口

　　4，在右側(cè)窗格中的樹狀目錄中選擇需要查看的日志類型，如 “事件查看器本地--Win日志--系統(tǒng)日志，在接著在中間的 “系統(tǒng)” 列表中即查看到關(guān)于系統(tǒng)的事件日志

　　5，雙擊日志名稱，可以打開 “事件屬性” 對(duì)話框，切換到 “常規(guī)” 選項(xiàng)卡，可以查看該日志的常規(guī)描述信息

　　6，切換到 “詳細(xì)信息” 選項(xiàng)卡，可以查看該日志的詳細(xì)信息

　　7，打開 “控制面板” 窗口，單擊 “操作中心” 鏈接，打開 “操作中心” 窗口，展開 “維護(hù)” 區(qū)域

　　8，單擊 “查看可靠性歷史記錄” 鏈接，打開 “可靠性監(jiān)視程序” 主界面，如圖所示， 用戶可以選擇按天或者按周為時(shí)間單位來查看系統(tǒng)的穩(wěn)定性曲線表，如果系統(tǒng)近日沒出過什么狀況， 那么按周來查看會(huì)比較合適。觀察圖中的曲線可以發(fā)現(xiàn)，在某段時(shí)間內(nèi)，系統(tǒng)遇到些問題，可靠性指數(shù)曲線呈下降的趨勢(shì)，并且在這段時(shí)間系統(tǒng)遇到了三次問題和一次警告，在下方的列表中可以查看詳細(xì)的問題信息。

　　相關(guān)閱讀：系統(tǒng)故障導(dǎo)致死機(jī)怎么解決

　　1、病毒原因造成電腦頻繁死機(jī)

　　由于此類原因造成該故障的現(xiàn)象比較常見，當(dāng)計(jì)算機(jī)感染病毒后，主要表現(xiàn)在以下幾個(gè)方面：

　?、傧到y(tǒng)啟動(dòng)時(shí)間延長;

　?、谙到y(tǒng)啟動(dòng)時(shí)自動(dòng)啟動(dòng)一些不必要的程序;

　?、蹮o故死機(jī)

　?、芷聊簧铣霈F(xiàn)一些亂碼。

　　其表現(xiàn)形式層出不窮，由于篇幅原因就介紹到此，在此需要一并提出的是，倘若因?yàn)椴《緭p壞了一些系統(tǒng)文件，導(dǎo)致系統(tǒng)工作不穩(wěn)定，我們可以在安全模式下用系統(tǒng)文件檢查器對(duì)系統(tǒng)文件予以修復(fù)。

　　2、由于某些元件熱穩(wěn)定性不良造成此類故障(具體表現(xiàn)在CPU、電源、內(nèi)存條、主板)

　　對(duì)此，我們可以讓電腦運(yùn)行一段時(shí)間，待其死機(jī)后，再用手觸摸以上各部件，倘若溫度太高則說明該部件可能存在問題，我們可用替換法來診斷。值得注意的是在安裝CPU風(fēng)扇時(shí)最好能涂一些散熱硅脂，但我在某些組裝的電腦上卻是很難見其蹤影，實(shí)踐證明，硅脂能降低溫度5—10度左右，特別是P Ⅲ 的電腦上，倘若不涂散熱硅脂，計(jì)算機(jī)根本就不能正常工作，曾遇到過一次此類現(xiàn)象。該機(jī)主要配置如下：磐英815EP主板、PⅢ733CPU、133外頻的128M內(nèi)存條，當(dāng)該機(jī)組裝完后，頻繁死機(jī)，連Windows系統(tǒng)都不能正常安裝，但是更換賽揚(yáng)533的CPU后，故障排除，懷疑主板或CPU有問題，但更換同型號(hào)的主板、CPU后該故障也不能解決。后來由于發(fā)現(xiàn)其溫度太高，在CPU上涂了一些散熱硅脂，故障完全解決。實(shí)踐證明在賽揚(yáng)533以上的CPU上必須要涂散熱硅脂，否則極有可能引起死機(jī)故障。

　　3、由于各部件接觸不良導(dǎo)致計(jì)算機(jī)頻繁死機(jī)

　　此類現(xiàn)象比較常見，特別是在購買一段時(shí)間的電腦上。由于各部件大多是靠金手指與主板接觸，經(jīng)過一段時(shí)間后其金手指部位會(huì)出現(xiàn)氧化現(xiàn)象，在拔下各卡后會(huì)發(fā)現(xiàn)金手指部位已經(jīng)泛黃，此時(shí)，我們可用橡皮擦來回擦拭其泛黃處來予以清潔。

　　4、由于硬件之間不兼容造成電腦頻繁死機(jī)

　　此類現(xiàn)象常見于顯卡與其它部件不兼容或內(nèi)存條與主板不兼容，例如SIS的顯卡，當(dāng)然其它設(shè)備也有可能發(fā)生不兼容現(xiàn)象，對(duì)此可以將其它不必要的設(shè)備如Modem、聲卡等設(shè)備拆下后予以判斷。

　　5、軟件沖突或損壞引起死機(jī)

　　此類故障，一般都會(huì)發(fā)生在同一點(diǎn)，對(duì)此可將該軟件卸掉來予以解決。