日志記錄了系統每天發生的各種各樣的事情，比如監測系統狀況、排查系統故障等。你可以通過日志來檢查錯誤發生的原因，或者受到攻擊時攻擊者留下的痕跡。日志的主要功能是審計和監測，還可以實時地監測系統狀態，監測和追蹤侵入者等。
在RockyLinux8系統里，以下幾個日志默認是不存在的，需要安裝rsyslog包，命令如下：

yuminstall-yrsyslog
systemctlstartsyslog
systemctl enable syslog

14.8.1/var/log/messages
阿銘常查看的日志文件為/var/log/messages，它是核心系統日志文件，包含了系統啟動時的引導消息，以及系統運行時的其他狀態消息。I/O錯誤、網絡錯誤和其他系統錯誤都會記錄到這個文件中。其他信息，比如某個人的身份切換為root，以及用戶自定義安裝的軟件（如，Apache）的日志也會在這里列出。

通常情況下，/var/log/messages是做故障診斷時首先要查看的文件。那你肯定會說，這么多日志都記錄到這個文件中，如果服務器上有很多服務，豈不是這個文件很快就會寫得很大？沒錯，但是系統有一個日志輪詢的機制，每星期切換一個日志，切換后的日志名字類似于messages-20200301，會存放在/var/log/目錄下面，連同messages一共有5個這樣的日志文件。這里的20200301就是日期，它表示日志切割的年月日。這是通過logrotate工具的控制來實現的，它的配置文件是/etc/logrotate.conf（如果沒有特殊需求，請不要修改這個配置文件）。

# cat /etc/logrotate.conf
# see "man logrotate" for details
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4
# create new (empty) log files after rotating old ones
create
# use date as a suffix of the rotated file
dateext
# uncomment this if you want your log files compressed
#compress
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# system-specific logs may be also be configured here.

這個配置文件里面的內容還是很容易明白的，都帶有解釋。除了logrotate.conf外，在/etc/logrotate.d/下面還有一些子配置文件。

# ls /etc/logrotate.d
bootlog btmp  chrony  dnf  sssd  syslog  up2date  wtmp.
# cat /etc/logrotate.d/syslog 
/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/spooler
{
missingok
sharedscripts
postrotate
/usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
endscript
}

其中syslog就是messages日志相關的配置文件了。/var/log/messages是由rsyslogd這個守護進程產生的，其服務為rsyslog.service，如果停止這個服務則系統不會產生/var/log/messages，所以這個服務不要停止。rsyslog服務的配置文件為/etc/rsyslog.conf，這個文件定義了日志的級別。若沒有特殊需求，這個配置文件是不需要修改的，詳細內容阿銘不再闡述。如果你感興趣，請使用命令man rsyslog.conf獲得更多關于它的信息。
14.8.2dmesg
除了關注/var/log/messages外，你還應該多關注一下dmesg這個命令，它可以顯示硬件（如，磁盤、網卡等）相關信息。如果你的某個硬件有問題（比如網卡），用這個命令也是可以看到的：

# dmesg |tail 
[ 8.671924] RAPL PMU: hw unit of domain pp0-core 2^-0 Joules
[ 8.671925] RAPL PMU: hw unit of domain package 2^-0 Joules
[ 8.671926] RAPL PMU: hw unit of domain dram 2^-0 Joules
[ 8.671927] RAPL PMU: hw unit of domain pp1-gpu 2^-0 Joules
[ 10.555690] NET: Registered protocol family 40
[ 14.545496] IPv6: ADDRCONF(NETDEV_UP): ens33: link is not ready
[ 14.551791] e1000: ens33 NIC Link is Up 1000 Mbps Full Duplex, Flow Control: None
[ 14.557466] IPv6: ADDRCONF(NETDEV_UP): ens33: link is not ready
[ 14.557477] IPv6: ADDRCONF(NETDEV_CHANGE): ens33: link becomes ready
[ 4202.922934] hrtimer: interrupt took 19983639 ns

14.8.3安全日志
關于安全方面的日志，阿銘簡單介紹幾個命令或者日志。

last命令用來查看登錄Linux的歷史信息，具體用法如下：

# last |head
root pts/1        192.168.72.128   Fri Jun 26 17:41   still logged in
root pts/0        192.168.72.1     Fri Jun 26 15:46   still logged in
reboot system boot  4.18.0-147.3.1.e Fri Jun 26 15:41   still running
root pts/3        192.168.72.1     Fri Jun 26 15:33 - 15:40  (00:06)
root pts/2        192.168.72.1     Fri Jun 26 15:30 - 15:40  (00:10)
root pts/0        192.168.72.1     Fri Jun 26 15:13 - 15:40  (00:27)
root pts/2        192.168.72.1     Fri Jun 26 15:07 - 15:13  (00:05)
root pts/1        192.168.72.1     Fri Jun 26 09:39 - 15:40  (06:01)
root pts/0        192.168.120.106  Fri Jun 26 08:54 - 15:08  (06:14)
root tty1                          Fri Jun 26 08:33 - 15:40  (07:07)

上例中，從左至右依次為賬戶名稱、登錄終端、登錄客戶端IP、登錄日期及時長。last命令輸出的信息實際上是讀取了二進制日志文件/var/log/wtmp，只是這個文件不能直接使用cat、Vim、head、tail等工具查看。 另外/var/log/secure也是和登錄信息有關的日志文件。該日志文件記錄驗證和授權等方面的信息，比如ssh登錄系統成功或者失敗時，相關的信息都會記錄在這個日志里。

最后，阿銘建議你以后在日常的管理工作中，要養成多看日志的習慣，尤其是一些應用軟件的日志。比如Nginx、MySQL、Redis（后續內容會講到）等常用的軟件，看它們的錯誤日志，可以幫助你排查問題以及監控它們的運行狀況是否良好。

14.8.4journal日志

如果不安裝rsyslog包，系統就沒有/var/log/messages日志，那系統有問題我們怎么看日志呢？可以通過jounalctl來查看：

jounalctl

常用選項有：

-n 后面跟數字，比如5，查看最后5行

-e 查看最后的日志

-x 增加注釋

-o 設置日志格式，比如-o json，-o export，-o short

-p 設置日志級別，emerg、alert、crit、err、warning、notice、info、debug

-f 動態查看

-u 指定unit，比如-u chrony

-r 倒序查看

-k 只看內核相關

具體示例，如下：

查看sshd服務日志

journalctl -u sshd

2. 查看系統內核日志

journalctl -k

3.動態查看sshd服務日志

journalctl -u sshd -f

4.直接打印全部，不讓它分頁

journalctl --no-page

審核編輯：湯梓紅