日志

常用日志

/var/log/message

记录Linux系统的绝大多数重要信息，如果系统出现问题，首先要检查的应该就是这个日志文件

/var/log/secure

记录验证和授权方面的信息，只要涉及账户和密码的程序都会记录，比如系统的登录、ftp的登录、ssh的登录、su切换用户，sudo授权，甚至添加用户和修改用户密码都会记录在这个日志文件中

/var/log/dmesg

记录了系统在开机时内核自检（硬件）的信息。也可以使用dmesg命令直接查看内核自检信息

/var/log/wtmp

永久记录所有用户的登陆、注销、系统的启动、重启、关机事件，是二进制文件.不能直接Vi查看，使用last命令查看

/var/log/btmp

记录错误登陆的日志。这个文件是二进制文件，不能直接Vi查看，使用lastb命令查看

/var/log/lasllog

记录系统中所有用户最后一次的登录时间的日志，也是二进制文件，使用lastlog命令查看

/var/log/cron

系统定时任务相关的日志

/etc/rsyslog.conf

定义服务日志记录位置的配置文件—/etc/rsyslog.conf
格式：日志服务[连接符号]日志等级 日志记录位置

日志服务
facility：是用来定义由谁产生的日志信息

日志服务名称：
auth ： 安全和认证
authpriv： 安全和认证（私有），指定用户才能查看
cron： 计划任务
daemon：系统守护进程
kern： 与内核有关的信息
lpr: 与打印服务有关的信息
mail: 与电子邮件有关的信息
news:来自新闻服务器的信息
syslog： 由syslog生成的信息
user：用户的程序生成的信息，默认
ftp： ftp服务的日志信息
uucp： 由uucp生成的信息
local0~7 ： 用来定义本地策略
连接符号

“.”代表只要比后面的等级高的（包含该等级）日志都记录。比如，“cron.info”代表cron服务产生的日志，只要日志等级大于等于info级别就会记录。
“.=”代表只记录所需等级的日志，其他等级的日志都不记录。比如，“*.=emerg”代表任何日志服务产生的日志，只要等级是emerg等级就记录
“.！”代表不等于，也就是除该等级的日志外，其他等级的日志都记录。

日志等级
debug 一般的调试信息
info 基本的通知信息
nolice 普通信息，但是有一定的重要性
warning 警吿信息，但是还不会影响到服务或系统的运行
err 错误信息, 一般达到err等级的信息已经可以影响到服务成系统的运行了
crit 临界状况信思，比err等级要严重
alert 状态信息，比err等级要严重，必须立即处理
emerg 紧急信息，系统已经无法使用了
‘* '代表所有日志等级。比如，“authpriv.*”代表amhpriv认证信息服务产生的日志，所有的日志等级都记录