Для целей ведения журнала ядра, почему у меня есть три разных, не включающих уровни ведения журнала среди /var/log/messages
, /var/log/syslog
, и /var/log/kern.log
?
Системный журнал это стандартное лесозаготовительное оборудование. Он собирает сообщения различных программ и служб, включая ядро, и сохраняет их, в зависимости от настроек, в куче файлов журнала, обычно под /var/log
. В некоторых установках центров обработки данных существуют сотни устройств, каждое из которых имеет свой собственный журнал; системный журнал здесь тоже пригодится. Нужно просто настроить выделенный сервер системного журнала, который собирает все журналы отдельных устройств по сети. Системный журнал также может сохранять журналы в базах данных и других клиентах.
Согласно моему /etc/syslog.conf
, по умолчанию /var/log/kern.log
фиксирует только сообщения ядра любого уровня журнала; т.е. выходные данные dmesg
.
/var/log/messages
вместо этого он нацелен на хранение ценных, не отладочных и некритичных сообщений. Этот журнал следует рассматривать как журнал "общей активности системы".
/var/log/syslog
в свою очередь, регистрирует все, кроме сообщений, связанных с авторизацией.
Другими стандартными журналами insteresting, управляемыми syslog, являются /var/log/auth.log
, /var/log/mail.log
.
обновление 2020 года
Вы все еще можете наткнуться на системный журнал, но значения по умолчанию изменились.
journald
заменил системный журнал в довольно большой части систем, включая Ubuntu.
Это актуально, потому что вы не найдете /var/log/messages
так часто уже не бывает. journald
не записывает текстовые журналы — он использует свой собственный, сжатый и частично аутентифицированный формат.
Поиск в Интернете, например чит-лист journalctl, или просто изучать man 8 systemd-journald
, man 1 journalctl
себя.
Syslog и journaldв некоторой степени перекрестно совместимы; вы можете передавать журналы между ними в любом направлении. Тем не менее, вы не получите журналы открытого текста a-la /var/log/messages
с journald; и вы не получите структурированного (journalctl -o json-pretty
) и аутентифицированное ведение журнала с помощью системного журнала.
- системный журнал содержит все сообщения, кроме типа auth.
- сообщения содержат только общие некритические сообщения. Эта категория является
info
,notice
иwarn
- Для получения полного журнала посмотрите на
/var/log/syslog
и/var/log/auth.log
- АФАИК
/var/log/kern.log
содержит сообщения ядра. - файлы журналов - это просто соглашение, изложенное в /etc/syslog.conf
- читать
syslog(3)
для получения дополнительной информации
Проверьте эту страницу о различия между сообщениями и системным журналом
в нем говорится /var/log/messages
⊂ /var/log/syslog
Обратите внимание, что /var/log/messages - это системный журнал в системах, отличных от Debian / не-Ubuntu, таких как системы RHEL или CentOS, как правило.
Обратите внимание, что journalctl
медленно заменяет syslog
в качестве перехода к ресурсу для мониторинга системных сообщений.
как насчет системного журнала и системного журнала?1 ? в чем разница?..