Для целей ведения журнала ядра, почему у меня есть три разных, не включающих уровни ведения журнала среди /var/log/messages, /var/log/syslog, и /var/log/kern.log?
Системный журнал это стандартное лесозаготовительное оборудование. Он собирает сообщения различных программ и служб, включая ядро, и сохраняет их, в зависимости от настроек, в куче файлов журнала, обычно под /var/log. В некоторых установках центров обработки данных существуют сотни устройств, каждое из которых имеет свой собственный журнал; системный журнал здесь тоже пригодится. Нужно просто настроить выделенный сервер системного журнала, который собирает все журналы отдельных устройств по сети. Системный журнал также может сохранять журналы в базах данных и других клиентах.
Согласно моему /etc/syslog.conf, по умолчанию /var/log/kern.log фиксирует только сообщения ядра любого уровня журнала; т.е. выходные данные dmesg.
/var/log/messages вместо этого он нацелен на хранение ценных, не отладочных и некритичных сообщений. Этот журнал следует рассматривать как журнал "общей активности системы".
/var/log/syslog в свою очередь, регистрирует все, кроме сообщений, связанных с авторизацией.
Другими стандартными журналами insteresting, управляемыми syslog, являются /var/log/auth.log, /var/log/mail.log.
обновление 2020 года
Вы все еще можете наткнуться на системный журнал, но значения по умолчанию изменились.
journald заменил системный журнал в довольно большой части систем, включая Ubuntu.
Это актуально, потому что вы не найдете /var/log/messages так часто уже не бывает. journald не записывает текстовые журналы — он использует свой собственный, сжатый и частично аутентифицированный формат.
Поиск в Интернете, например чит-лист journalctl, или просто изучать man 8 systemd-journald, man 1 journalctl себя.
Syslog и journaldв некоторой степени перекрестно совместимы; вы можете передавать журналы между ними в любом направлении. Тем не менее, вы не получите журналы открытого текста a-la /var/log/messages с journald; и вы не получите структурированного (journalctl -o json-pretty) и аутентифицированное ведение журнала с помощью системного журнала.
- системный журнал содержит все сообщения, кроме типа auth.
- сообщения содержат только общие некритические сообщения. Эта категория является
info,noticeиwarn - Для получения полного журнала посмотрите на
/var/log/syslogи/var/log/auth.log - АФАИК
/var/log/kern.logсодержит сообщения ядра. - файлы журналов - это просто соглашение, изложенное в /etc/syslog.conf
- читать
syslog(3)для получения дополнительной информации
Проверьте эту страницу о различия между сообщениями и системным журналом
в нем говорится /var/log/messages ⊂ /var/log/syslog
Обратите внимание, что /var/log/messages - это системный журнал в системах, отличных от Debian / не-Ubuntu, таких как системы RHEL или CentOS, как правило.
Обратите внимание, что journalctl медленно заменяет syslog в качестве перехода к ресурсу для мониторинга системных сообщений.
как насчет системного журнала и системного журнала?1 ? в чем разница?..