Linux系统拥有非常灵活和强大的日志功能，可以保存几乎所有的操作记录，并可以从中检索出我们需要的信息。大部分Linux发行版默认的日志守护进程为syslog，位于/etc/syslog或/etc/syslogd，默认配置文件为/etc/syslog.conf，任何希望生成日志的程序都可以向syslog发送信息。Linux系统内核和许多程序会产生各种错误信息、警告信息和其他的提示信息，这些信息对管理员了解系统的运行状态是非常有用的，所以应该把它们写到日志文件中去。完成这个过程的程序就是syslog。syslog可以根据日志的类别和优先级将日志保存到不同的文件中。例如，为了方便查阅，可以把内核信息与其他信息分开，单独保存到一个独立的日志文件中。默认配置下，日志文件通常都保存在“/var/log”目录下。 日志类型 下面是常见的日志类型，但并不是所有的Linux发行版都包含这些类型： 类型说明auth用户认证时产生的日志，如login命令、su命令。authpriv与auth类似，但是只能被特定用户查看。console针对系统控制台的消息。cron系统定期执行计划任务时产生的日志。daemon某些守护进程产生的日志。ftpFTP服务。kern系统内核消息。local0.local7由自定义程序使用。lpr与打印机活动有关。mail邮件日志。mark产生时间戳。系统每隔一段时间向日志文件中输出当前时间，每行的格式类似于May2611:17:09rs2--MARK--，可以由此推断系统发生故障的大概时间。news网络新闻传输协议(nntp)产生的消息。ntp网络时间协议(ntp)产生的消息。user用户进程。uucpUUCP子系统。日志优先级 常见的日志优先级请见下标： 优先级说明emerg紧急情况，系统不可用（例如系统崩溃），一般会通知所有用户。alert需要立即修复，例如系统数据库损坏。crit危险情况，例如硬盘错误，可能会阻碍程序的部分功能。err一般错误消息。warning警告。notice不是错误，但是可能需要处理。info通用性消息，一般用来提供有用信息。debug调试程序产生的信息。none没有优先级，不记录任何日志消息。常见日志文件 所有的系统应用都会在/var/log目录下创建日志文件，或创建子目录再创建日志文件。例如： 文件/目录说明/var/log/boot.log开启或重启日志。/var/log/cron计划任务日志/var/log/maillog邮件日志。/var/log/messages该日志文件是许多进程日志文件的汇总，从该文件可以看出任何入侵企图或成功的入侵。/var/log/httpd目录ApacheHTTP服务日志。/var/log/samba目录samba软件日志 /etc/syslog.conf文件 /etc/syslog.conf是syslog的配置文件，会根据日志类型和优先级来决定将日志保存到何处。典型的syslog.conf文件格式如下所示： *.err;kern.debug;auth.notice/dev/console daemon,auth.notice/var/log/messages lpr.info/var/log/lpr.log mail.*/var/log/mail.log ftp.*/var/log/ftp.log auth.*@see.xidian.edu.cn auth.*root,amrood netinfo.err/var/log/netinfo.log install.*/var/log/install.log *.emerg* *.alert|program_name mark.*/dev/console 第一列为日志类型和日志优先级的组合，每个类型和优先级的组合称为一个选择器；后面一列为保存日志的文件、服务器，或输出日志的终端。syslog进程根据选择器决定如何操作日志。对配置文件的几点说明： 日志类型和优先级由点号(.)分开，例如kern.debug表示由内核产生的调试信息。 kern.debug的优先级大于debug。 星号(*)表示所有，例如*.debug表示所有类型的调试信息，kern.*表示由内核产生的所有消息。 可以使用逗号(,)分隔多个日志类型，使用分号(;)分隔多个选择器。 对日志的操作包括： 将日志输出到文件，例如/var/log/maillog或/dev/console。 将消息发送给用户，多个用户用逗号(,)分隔，例如root,amrood。 通过管道将消息发送给用户程序，注意程序要放在管道符(|)后面。 将消息发送给其他主机上的syslog进程，这时/etc/syslog.conf文件后面一列为以@开头的主机名，例如@see.xidi