Разница между /var/log/messages, /var/log/syslog и /var/log/kern.log?

Для целей ведения журнала ядра, почему у меня есть три разных, не включающих уровни ведения журнала среди /var/log/messages, /var/log/syslog, и /var/log/kern.log?

Системный журнал это стандартное лесозаготовительное оборудование. Он собирает сообщения различных программ и служб, включая ядро, и сохраняет их, в зависимости от настроек, в куче файлов журнала, обычно под /var/log. В некоторых установках центров обработки данных существуют сотни устройств, каждое из которых имеет свой собственный журнал; системный журнал здесь тоже пригодится. Нужно просто настроить выделенный сервер системного журнала, который собирает все журналы отдельных устройств по сети. Системный журнал также может сохранять журналы в базах данных и других клиентах.

Согласно моему /etc/syslog.conf, по умолчанию /var/log/kern.log фиксирует только сообщения ядра любого уровня журнала; т.е. выходные данные dmesg.

/var/log/messages вместо этого он нацелен на хранение ценных, не отладочных и некритичных сообщений. Этот журнал следует рассматривать как журнал "общей активности системы".

/var/log/syslog в свою очередь, регистрирует все, кроме сообщений, связанных с авторизацией.

Другими стандартными журналами insteresting, управляемыми syslog, являются /var/log/auth.log, /var/log/mail.log.


обновление 2020 года

Вы все еще можете наткнуться на системный журнал, но значения по умолчанию изменились.

journald заменил системный журнал в довольно большой части систем, включая Ubuntu.

Это актуально, потому что вы не найдете /var/log/messages так часто уже не бывает. journald не записывает текстовые журналы — он использует свой собственный, сжатый и частично аутентифицированный формат.

Поиск в Интернете, например чит-лист journalctl, или просто изучать man 8 systemd-journald, man 1 journalctl себя.

Syslog и journaldв некоторой степени перекрестно совместимы; вы можете передавать журналы между ними в любом направлении. Тем не менее, вы не получите журналы открытого текста a-la /var/log/messages с journald; и вы не получите структурированного (journalctl -o json-pretty) и аутентифицированное ведение журнала с помощью системного журнала.

  • системный журнал содержит все сообщения, кроме типа auth.
  • сообщения содержат только общие некритические сообщения. Эта категория является info , notice и warn
  • Для получения полного журнала посмотрите на /var/log/syslog и /var/log/auth.log
  • АФАИК /var/log/kern.log содержит сообщения ядра.
  • файлы журналов - это просто соглашение, изложенное в /etc/syslog.conf
  • читать syslog(3) для получения дополнительной информации

Проверьте эту страницу о различия между сообщениями и системным журналом

в нем говорится /var/log/messages /var/log/syslog

Обратите внимание, что /var/log/messages - это системный журнал в системах, отличных от Debian / не-Ubuntu, таких как системы RHEL или CentOS, как правило.

Обратите внимание, что journalctl медленно заменяет syslog в качестве перехода к ресурсу для мониторинга системных сообщений.

как насчет системного журнала и системного журнала?1 ? в чем разница?..