Ubuntu 系统的日志信息保存路径为: /var/log/,如:
- auth - 安全验证日志
- boot - 启动日志
- kern - 内核日志
- syslog - 系统日志
- wtmp - 与
/var/run/utmp一起记录了连接时间日志 - Xorg - 显示服务日志
1. /var/log/ 目录日志文件说明
[1] - alternatives.log - 记录更新替代信息.
[2] - apport.log - 记录应用程序崩溃信息.
[3] - apt/ - 记录 apt-get 安装卸载软件的信息.
[4] - auth.log - 记录用户登录及身份认证信息.
[5] - boot.log - 记录系统启动时的日志信息.
[6] - btmp - 记录所有系统失败启动信息,如登录系统失败的用户、时间、IP 等信息.
[7] - cpus/ - 记录所有打印信息的日志.
[8] - dist-upgrade/ - 记录更新方式为dist-upgrade的信息.
[9] - dmesg - 内核缓冲信息(kernel ringbuffer). 如,系统启动时,显示屏幕上的与硬件有关的信息.
[10] - dpkg.log - 记录安装或dpkg命令清除软件包的日志.
[11] - debug - 调试日志信息.
[12] - faillog - 记录用户登录失败信息以及错误登录命令.
[13] - fontconfig.log - 与字体配置有关的信息.
[14] - fsck - 文件系统日志.
[15] - kern.log - 记录内核产生的日志,有助于在定制内核时解决问题.
[16] - lastlog - 记录所有用户的最近信息,如最后一次用户成功登录的时间、登录 IP 等信息. 需要用 lastlog 命令查看内容.
[17] - syslog - 记录的是系统日志服务.
[18] - wtmp - 记录用户登录系统的信息,以及使用命令查看该文件的用户信息等.
[19] - Xorg.*.log - 记录 Xorg 显示服务的日志信息.
2. /var/log/messages
/var/log/messages 用于记录系统常见的系统和服务错误信息.
但是,这个文件可能找不到,如:
sudo tail /var/log/messages
#tail: cannot open '/var/log/messages' for reading: No such file or directory
#或
sudo cat /var/log/messages
#cat: /var/log/messages: No such file or directory其原因是,需要将 /etc/rsyslog.d/50-default.conf 文件中的注释去掉,如:
#
# Some "catch-all" log files.
#
#*.=debug;\
# auth,authpriv.none;\
# news.none;mail.none -/var/log/debug
#*.=info;*.=notice;*.=warn;\
# auth,authpriv.none;\
# cron,daemon.none;\
# mail,news.none -/var/log/messages
#去掉第 4 行到第 10 行的 # 注释,并重启 rsyslog 服务:
sudo restart rsyslog
#或
sudo /etc/init.d/rsyslog restart注: 如果 /var/log/messages 被写满,导致空间被占用较多,可以查看下哪些内容被写入到文件了:
grep "/var/log/messages" /etc/rsyslog.d/50-default.conf然后在 /etc/rsyslog.d/50-default.conf 文件中注释掉即可.