suse linux日志分析


#SUSE日志分析

创建日期: 2017年2月23日
文件名: suselog.md
存放:  
作者: 吴迪

修订记录

日期 作者 描述
20170223 吴迪 创建
20170224 赵玉龙 增添 secure,xferlog ,atop, dmesg,auth,daemon
20170228 吴迪 给重要的Log添加星标,并补充secure log sample

参考suse官方文档LINK

[TOC]

注:本文以SUSE 11为例

系统级别的日志并不是默认所有都输出的,很多需要在/etc/syslog-ng/syslog-ng.conf中进行配置,并通过/etc/rc.d/syslog restart重启syslog服务才会产生,例如crontab的日志。 syslog-ng.conf

#1. syslog

System log files are always located under the /var/log directory. The following list presents an overview of all system log files from SUSE Linux Enterprise Server present after a default installation. Depending on your installation scope, /var/log also contains log files from other services and applications not listed here. Some files and directories described below are placeholders and are only used, when the corresponding application is installed. Most log files are only visible for the user root.

loglist

日志 描述 可用程度分析 备注
message 几乎系统发生的错误信息或者是重要信息都会记录在这个文件    
warn 警告以上级别日志    
cron crontab日志 可用于判断计划任务的执行情况 manual open
secure 记录系统登录的日志,例如POP3,SSH,TELNET,FTP等 用于安全审计 manual open,没有年份信息,无法处理历史数据
xferlog 记录FTP会话,可以显示出用户操作了FTP服务器的文件 用于安全审计 manual open
auth 包含系统授权信息,包括用户登录和使用的权限等 可以通过该文件检查近期有多少用户登录,并且查看是否有恶意破解密码。 manual open
wtmp last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户 需要使用last命令读取,如何获取增量是个问题  
lastlog 最后一次登录信息    
utmp 记录有关当前登录的每个用户的信息 对应w,who命令  
audit 通常用于记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知 需要配置 有实际数据
faillog 用户登录失败信息 ,需要使用faillog命令读取 无用  
daemon 包含各种系统后台守护进程日志 可用于判断后台服务是否有异常情况发生  
xinetd.log Log files from the extended Internet services daemon (xinetd).    
Xorg.0.log X startup log file. Refer to this in case you have problems starting X. Copies from previous X starts are numbered Xorg.?.log.    
ntp Network Time Protocol (NTP)时间服务器,当客户端时间与服务器时间不同时,可以使用NTP服务器自动同步服务器时间。   sample data
firewall Firewall logs. 未使用linux防火墙,无使用意义  
/var/log/dump/ 系统崩溃时转储的文件,可以通过该文件分析down机的原因   需要手工收集,导入分析系统
maillog sendmail往来日志 maillog用于记录sendmail服务往来日志,邮件发送情况,日志情况会分别记录在下面三个文件中: /var/log/mail:记录所有发送以及接受邮件记录。 /var/log/mail.err:记录发送失败的信息 /var/log/mail.warn:记录邮件发送警告 不使用linux邮件系统,无用 sample data
acpid 电源管理事件日志 无用  
apparmor AppArmor日志 需要特殊配置 需要针对性研究apparmor
consolekit     未从日志中分析出有用信息
cpus 打印服务日志 无用  
localmessage Log messages of some boot scripts, for example the log of the DHCP client.   从数据里没有直接看明白包含什么信息
boot.msg 启动信息   无用
boot.omsg 系统最后一次启动信息   无用
yast yast日志 用途不大,不使用yast的操作不会记录  
atop Atop工具收集的系统资源使用情况日志 用于性能分析,但和nmon等其他方案重叠  
dmesg 查看打印机信息或内核缓冲区 无用  
gdm/* GNOME是一套纯粹自由的计算机软件,运行在操作系统上,提供图形桌面环境。 GNOME 包含了 Panel (用来启动此程式和显示目前的状态)、桌面 (应用程式和资料放置的地方)及一系列的标准桌面工具和应用程式,并且能让各个应用程式都能正常地运作。 GNOME是类Unix操作系统上最常用的图形桌面环境之一。    
krb5 Kerberos协议主要用于计算机网络的身份鉴别(Authentication), 其特点是用户只需输入一次身份验证信息就可以凭借此验证获得的票据(ticket-granting ticket)访问多个服务,即SSO(Single Sign On)。由于在每个Client和Service之间建立了共享密钥,使得该协议具有相当的安全性。 Kerberos协议主要做了两件事 1.Ticket的安全传递。 2.Session Key的安全发布。再加上时间戳的使用就很大程度上的保证了用户鉴别的安全性。并且利用Session Key,在通过鉴别之后Client和Service之间传递的消息也可以获得Confidentiality(机密性), Integrity(完整性)的保证。不过由于没有使用非对称密钥自然也就无法具有抗否认性,这也限制了它的应用。不过相对而言它比X.509 PKI的身份鉴别方式实施起来要简单多了。 linux krb5协议介绍   无用
news/* 新闻群组服务器相关日志。   无用
NetworkManager 是NetworkManager服务的日志,NetworkManager由一个管理系统网络连接、并且将其状态通过D-BUS(是一个提供简单的应用程序互相通讯的途径的自由软件项目,它是做为freedesktoporg项目的一部分来开发的。)进行报告的后台服务,以及一个允许用户管理网络连接的客户端程序。   无用
pk_backend_zypp PackageKit (with libzypp backend) log files.   无用
puppet/* puppet是puppet服务生成的日志。puppet是一种Linux、Unix、windows平台的集中配置管理系统,使用自有的puppet描述语言,可管理配置文件、用户、cron任务、软件包、系统服务等。puppet把这些系统实体称之为资源,puppet的设计目标是简化对这些资源的管理以及妥善处理资源间的依赖关系。 puppet 协议介绍   sample data
samba/* 是samba服务器生成的日志。Samba是在Linux和UNIX系统上实现SMB协议的一个免费软件,由服务器及客户端程序构成。SMB(Server Messages Block,信息服务块)是一种在局域网上共享文件和打印机的一种通信协议,它为局域网内的不同计算机之间提供文件及打印机等资源的共享服务。SMB协议是客户机/服务器型协议,客户机通过该协议可以访问服务器上的共享文件系统、打印机及其他资源。通过设置“NetBIOS over TCP/IP”使得Samba不但能与局域网络主机分享资源,还能与全世界的电脑分享资源。samba 服务器   sample data
SaX.log 记录来自SaX 屏幕和 KVM 系统的硬件讯息。例如运行sax2 -r -m 0=fglrx之后,出现黑屏或不能工作的情况,需要查看/var/log/SaX.log 日志文件   sample data
scpm 记录SCP命令的执行信息,SCP(secure copy)即在linux下进行远程拷贝文件的命令,也是linux中功能最强大的文件传输命令   sample data
zypp/* ZYpp (或称libzypp) 是一个软件包管理引擎,通常在openSUSE/SUSE以YaST、Zypper或PackageKit为前端使用。不像其他的软件包管理器,它提供一个强力的可满足性求解器来计算软件包相依性,也提供了一组方便的软件包管理API。它是一个由Novell所赞助的开放源代码且为自由软件的项目,采用GNU通用公共许可证第二版或更新授权。    
zypper.log zypper工具是opensuse命令行下的管理软件的程序,可以用来添加软件源,可以安装软件,升级软件,功能与yum很相似。   zypper 功能详解

acpid

Log of the advanced configuration and power interface event daemon (acpid), a daemon to notify user-space programs of ACPI events. acpid will log all of its activities, as well as the STDOUT and STDERR of any actions to syslog.

ACPI是Advanced Configuration and PowerInterface缩写,acpid中的d则代表daemon。Acpid是一个用户空间的服务进程,它充当linux内核与应用程序之间通信的接口,负责将kernel中的电源管理事件转发给应用程序。 参考 back to loglist

apparmor

AppArmor log files.

AppArmor是一个高效和易于使用的Linux系统安全应用程序。AppArmor对操作系统和应用程序所受到的威胁进行从内到外的保护,甚至是未被发现的0day漏洞和未知的应用程序漏洞所导致的攻击。AppArmor安全策略可以完全定义个别应用程序可以访问的系统资源与各自的特权。AppArmor包含大量的默认策略,它将先进的静态分析和基于学习的工具结合起来,AppArmor甚至可以使非常复杂的应用可以使用在很短的时间内应用成功。

AppArmor 是一款与SeLinux类似的安全框架/工具,其主要作用是控制应用程序的各种权限,例如对某个目录/文件的读/写,对网络端口的打开/读/写等等。

AppArmor is designed to provide easy-to-use application security for both servers and workstations. Novell AppArmor is an access control system that lets you specify per program which files the program may read, write, and execute. AppArmor secures applications by enforcing good application behavior without relying on attack signatures, so it can prevent attacks even if they are exploiting previously unknown vulnerabilities.

AppArmor通过一个配置文件(即profile)来指定一个应用程序的相关权限。在大多数情况下,可以通过限制应用程序的某些不必要的权限来提升系统安全性,比如指定Firefox不能访问系统目录,这样即便是使用Firefox访问了恶意网页,也可以避免恶意网页通过Firefox访问到系统目录。

配置Apparmor guide

back to loglist

audit

包含被linux audi daemon存储的信息

配置audit

The Linux Audit Subsystem is a system to Collect information regarding events occurring on the system(s) Kernel events (syscall events) User events (audit-enabled programs)

通常用于记录文件变化、记录用户对文件的读写,甚至记录系统调用,文件变化通知。

back to loglist

ConsoleKit

Logs of the ConsoleKit daemon (daemon for tracking what users are logged in and how they interact with the computer).

参考数据

395365937.366 type=SEAT_ACTIVE_SESSION_CHANGED : seat-id='Seat1' session-id='Session1'
1395365949.302 type=SEAT_SESSION_REMOVED : seat-id='Seat1' session-id='Session1' session-type='LoginWindow' session-x11-display=':0' session-x11-display-device='/dev/tty7' session-display-device='' session-remote-host-name='' session-is-local=TRUE session-unix-user=107 session-creation-time='2014-03-21T01:38:57.330373Z'

back to loglist

cups

Access and error logs of the Common UNIX Printing System (cups).

打印服务,日志应该没什么作用

back to loglist

faillog

Database file that contains all login failures. Use the faillog command to view. See man 8 faillog for more information.

用户登录失败信息,错误登录命令也会记录再此文件 需要使用faillog命令读取

back to loglist

boot.msg

Log of the system init process—this file contains all boot messages from the Kernel, the boot scripts and the services started during the boot sequence. Check this file to find out whether your hardware has been correctly initialized or all services have been started successfully.

sample data

back to loglist

boot.omsg

Log of the system shutdown process - this file contains all messages issued on the last shutdown or reboot.

/var/log/boot.omsg sample data

back to loglist

message

This is the default place where all Kernel and system log messages go and should be the first place (along with /var/log/warn) to look at in case of problems.

几乎系统发生的错误信息或者是重要信息都会记录在这个文件 sample data

back to loglist

warn

sapmle data

back to loglist

wtmp

Database of all login/logout activities, runlevel changes and remote connections. Use the command last to view. See man 1 last for more information.

登录进入和退出纪录在文件wtmp中

last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户 ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间(小时)

root     pts/3        192.168.0.103    Thu Feb 23 09:18   still logged in   
root     pts/2        192.168.0.103    Thu Feb 23 09:02   still logged in   
root     pts/1        192.168.0.106    Thu Feb 23 08:58   still logged in   
root     pts/0        :0.0             Thu Feb 23 08:56   still logged in   
root     :0           console          Thu Feb 23 08:55   still logged in   
root     :0                            Thu Feb 23 08:55 - 08:55  (00:00)    
root     tty7         :0               Thu Feb 23 08:55   still logged in

back to loglist

lastlog

The lastlog file is a database which contains info on the last login of each user. Use the command lastlog to view. See man 8 lastlog for more information.

记录最近登录成功的事件和最后一次不成功的事件

suse87:/var/log # lastlog
Username                Port     Latest
root                    pts/3    Thu Feb 23 09:18:54 -0500 2017
bin                              **Never logged in**
daemon                           **Never logged in**
lp                               **Never logged in**
mail                             **Never logged in**
games                            **Never logged in**
wwwrun                           **Never logged in**
ftp                              **Never logged in**
messagebus                       **Never logged in**
haldaemon                        **Never logged in**
sshd                             **Never logged in**
man                              **Never logged in**
news                             **Never logged in**
uucp                             **Never logged in**
uuidd                            **Never logged in**
puppet                           **Never logged in**
at                               **Never logged in**
postfix                          **Never logged in**
polkituser                       **Never logged in**
ntp                              **Never logged in**
pulse                            **Never logged in**
suse-ncc                         **Never logged in**
gdm                              **Never logged in**

back to loglist

utmp

记录有关当前登录的每个用户的信息 w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息 who命令查询utmp文件并报告当前登录的每个用户

back to loglist

cron

crontab日志

Feb 23 09:36:01 suse87 /usr/sbin/cron[24049]: (root) CMD (/root/test.sh)
Feb 23 09:38:01 suse87 /usr/sbin/cron[24054]: (root) CMD (/root/test.sh)
Feb 23 09:40:01 suse87 /usr/sbin/cron[24056]: (root) CMD (/root/test.sh)
Feb 23 09:42:01 suse87 /usr/sbin/cron[24059]: (root) CMD (/root/test.sh)
Feb 23 09:44:01 suse87 /usr/sbin/cron[24061]: (root) CMD (/root/test.sh)
Feb 23 09:46:01 suse87 /usr/sbin/cron[24085]: (root) CMD (/root/test.sh)
Feb 23 09:48:01 suse87 /usr/sbin/cron[24087]: (root) CMD (/root/test.sh)
Feb 23 09:50:01 suse87 /usr/sbin/cron[24092]: (root) CMD (/root/test.sh)
Feb 23 09:52:01 suse87 /usr/sbin/cron[24108]: (root) CMD (/root/test.sh)
Feb 23 09:54:01 suse87 /usr/sbin/cron[24123]: (root) CMD (/root/test.sh)
Feb 23 09:56:01 suse87 /usr/sbin/cron[24126]: (root) CMD (/root/test.sh)
Feb 23 09:58:01 suse87 /usr/sbin/cron[24128]: (root) CMD (/root/test.sh)

back to loglist

yast

YaST界面操作日志。 sample data

back to loglist

secure

记录系统登录的日志,例如POP3,SSH,TELNET,FTP等 1.需将/etc/ssh/sshd_config中的SyslogFacility设置为AUTHPRIV 2.使用service sshd restart重启服务 包含验证和授权方面信息。例如,sshd会将所有信息记录(其中包括失败登录)。 /var/log/secure日志

eb 26 03:50:01 NOVPLLOG01 sshd[11657]: Accepted publickey for root from 84.239.199.5 port 60798 ssh2: RSA 49:f4:eb:01:e1:1f:86:48:bf:29:01:54:45:9c:3f:3a
Feb 26 03:50:01 NOVPLLOG01 sshd[11657]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 26 03:50:01 NOVPLLOG01 sshd[11657]: pam_unix(sshd:session): session closed for user root
Feb 26 03:50:02 NOVPLLOG01 sshd[11672]: Accepted publickey for root from 84.239.199.4 port 58822 ssh2: RSA 9d:69:03:56:9d:de:13:00:cb:59:d5:be:b6:ab:e5:b9
Feb 26 03:50:02 NOVPLLOG01 sshd[11672]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 26 03:50:02 NOVPLLOG01 sshd[11672]: pam_unix(sshd:session): session closed for user root
Feb 26 03:51:01 NOVPLLOG01 sshd[11691]: Accepted publickey for root from 84.239.199.5 port 60801 ssh2: RSA 49:f4:eb:01:e1:1f:86:48:bf:29:01:54:45:9c:3f:3a
Feb 26 03:51:01 NOVPLLOG01 sshd[11692]: Accepted publickey for root from 84.239.199.4 port 58825 ssh2: RSA 9d:69:03:56:9d:de:13:00:cb:59:d5:be:b6:ab:e5:b9
Feb 26 03:51:01 NOVPLLOG01 sshd[11692]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 26 03:51:01 NOVPLLOG01 sshd[11691]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 26 03:51:02 NOVPLLOG01 sshd[11692]: pam_unix(sshd:session): session closed for user root
Feb 26 03:51:02 NOVPLLOG01 sshd[11691]: pam_unix(sshd:session): session closed for user root
Feb 26 03:52:01 NOVPLLOG01 sshd[11724]: Accepted publickey for root from 84.239.199.4 port 58827 ssh2: RSA 9d:69:03:56:9d:de:13:00:cb:59:d5:be:b6:ab:e5:b9
Feb 26 03:52:01 NOVPLLOG01 sshd[11725]: Accepted publickey for root from 84.239.199.5 port 60804 ssh2: RSA 49:f4:eb:01:e1:1f:86:48:bf:29:01:54:45:9c:3f:3a
Feb 26 03:52:01 NOVPLLOG01 sshd[11725]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 26 03:52:01 NOVPLLOG01 sshd[11724]: pam_unix(sshd:session): session opened for user root by (uid=0)
Feb 26 03:52:01 NOVPLLOG01 sshd[11725]: pam_unix(sshd:session): session closed for user root
Feb 26 03:52:01 NOVPLLOG01 sshd[11724]: pam_unix(sshd:session): session closed for user root

back to loglist

xferlog

/var/log/xferlog: 记录FTP会话,可以显示出用户操作了FTP服务器的文件 需要修改/etc/vsftpd.conf文件,添加xferlog_enable=YES 该日志文件记录FTP会话,可以显示出用户向FTP服务器或从服务器拷贝了什么文件。该文件会显示用户拷贝到服务器上的用来入侵服务器的恶意程序,以及该用户拷贝了哪些文件供他使用 /var/log/xferlog日志

Fri Feb 24 00:05:33 2017 [pid 9051] CONNECT: Client "10.10.9.1"
Fri Feb 24 00:05:36 2017 [pid 9050] [name] OK LOGIN: Client "10.10.9.1"
Fri Feb 24 00:05:44 2017 [pid 9052] [name] OK UPLOAD: Client "10.10.9.1", "/home/name/error.log", 275 bytes, 162.17Kbyte/sec

back to loglist

atop

安装完成之后需要运行安装目录下的atop.daily生成日志,否则目录为空。atop.daily是个bash里面有定时调度信息。

Atop工具收集的系统资源使用情况日志,包括CPU、内存、系统进程和IO数据,常用于分析进程内存泄露、CPU耗尽、IO异常等故障

sample data 运行后生成四个日志:

/var/log/atop/dummy_before  ----一直是空的,没看出是干什么的   
/var/log/atop/dummy_after  ----一直是空的,没看出是干什么的 
/var/log/atop/daily.log    ----记录atop.daily的运行情况,没什么重要内容
/var/log/atop/atop_20170224   -----将图形化界面的atop信息打印到日志,每天一个,但是文本是二进制模式的,需要用hexdump打开
例如:
0025ab0 0cb5 a1e1 7caf c7e8 0503 8785 5d07 b523
0025ac0 407c 01e3 834d 80f1 1e3c 416a ac2c 7926
0025ad0 5dc0 0f24 86b0 0f1b b992 ddb0 7f6f 01eb
0025ae0 fef4 a956 da0c 8511 6fec 5bd5 ccc6 a683
0025af0 75bf e835 656f fe83 5bd6 fd28 27ad 9907
0025b00 67cf 3c6c e7c8 26c2 b3d1 55bf 5029 c1c9
0025b10 18d2 1fb0 e1e0 3de0 0fda 64ca f206 11b2
0025b20 91af 83ca 7966 d519 d869 0d9d 87fa 44de
0025b30 3069 411d a7b4 20cf 8de6 5b1a 6b7f 5cc9
0025b40 eed8 8797 4937 b41e d234 3079 3c01 0058
0025b50 bc1e 2650 2e30 8c41 21c7 4079 0f1e aeb5
0025b60 85ce 7eed 4beb 642f f592 fea5 a91a 203c
0025b70 4beb a08e 74be 631b c97d 78d8 31b8 b617
0025b80 f7ab 3e59 94bc 9649 fd0f 5235 1879 f5e9
0025b90 6825 109d eec8 8797 4857 b41e d234 6879
0025ba0 18fe 6f76 7983 c71a f230 6c60 43e5 c3e9
0025bb0 1db0 63d3 b09c fbef 7869 2077 5afa a299
0025bc0 878f 394b 7d83 7d3f a2f7 0794 8a00 ca91
0025bd0 2243 2f70 c3c6 5439 fa81 1b12 bea5 8de4
0025be0 3f68 7eac fb58 b1bc f0f1 477f 194b 003c

back to loglist

dmesg

查看打印机信息或内核缓冲区

sample

[sda] 列出所有被检测到的硬件,例如
[    2.613429] sd 0:0:0:0: [sda] 104857600 512-byte logical blocks: (53.6 GB/50.0 GiB)
[    2.613472] sd 0:0:0:0: [sda] Write Protect is off
[    2.613492] sd 0:0:0:0: [sda] Mode Sense: 61 00 00 00

back to loglist

auth

包含系统授权信息,包括用户登录和使用的权限等

#
# /var/log/auth:
#
filter f_auth { facility(auth, authpriv); };
destination auth { file("/var/log/auth.log"); };
log { source(src); filter(f_auth); destination(auth); };

sample 可以通过该文件检查近期有多少用户登录,并且查看是否有恶意破解密码。

back to loglist

/var/log/daemon.log

包含各种系统后台守护进程日志

#
# /var/log/daemon:
#
filter f_daemon { facility(daemon); };
destination daemon { file("/var/log/daemon.log"); };
log { source(src); filter(f_daemon); destination(daemon); };

sample

back to loglist

xinetd

/var/log/xinetd.log是xinetd服务生成的日志,xinetd是一个强大的守护进程:

  • 支持对tcp、udp、RPC服务(但是当前对RPC的支持不够稳定)
  • 基于时间段的访问控制
  • 功能完备的log功能,即可以记录连接成功也可以记录连接失败的行为
  • 能有效的防止DoS攻击(Denial of Services)
  • 能限制同时运行的同一类型的服务器数目
  • 能限制启动的所有服务器数目
  • 能限制log文件大小
  • 将某个服务绑定在特定的系统接口上,从而能实现只允许私有网络访问某项服务
  • 能实现作为其他系统的代理。如果和ip伪装结合可以实现对内部私有网络的访问

xinetd 概述

back to loglist

firewall

firewall用于记录firewall service日常拦截日志,其中可以看到来访的MAC地址,访问源和目标的IP地址(算法加密)等信息。

Aug 30 17:47:24 hadoopsrv1 kernel: [  743.913466] SFW2-INext-DROP-DEFLT IN=br0 OUT= MAC=33:33:00:00:00:01:00:0c:29:a8:01:7e:86:dd SRC=fe80:0000:0000:0000:020c:29ff:fea8:017e DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=72 TC=0 HOPLIMIT=1 FLOWLBL=0 OPT ( ) PROTO=ICMPv6 TYPE=130 CODE=0 
Aug 30 17:49:29 hadoopsrv1 kernel: [  868.992424] SFW2-INext-DROP-DEFLT IN=br0 OUT= MAC=33:33:00:00:00:01:00:0c:29:a8:01:7e:86:dd SRC=fe80:0000:0000:0000:020c:29ff:fea8:017e DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=72 TC=0 HOPLIMIT=1 FLOWLBL=0 OPT ( ) PROTO=ICMPv6 TYPE=130 CODE=0 
Aug 30 17:51:34 hadoopsrv1 kernel: [  994.071324] SFW2-INext-DROP-DEFLT IN=br0 OUT= MAC=33:33:00:00:00:01:00:0c:29:a8:01:7e:86:dd SRC=fe80:0000:0000:0000:020c:29ff:fea8:017e DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=72 TC=0 HOPLIMIT=1 FLOWLBL=0 OPT ( ) PROTO=ICMPv6 TYPE=130 CODE=0 

sample

xorg

Xorg的日志文件时位于/var/log/ 目录下的,名字为Xorg.0.log,这些日志打印是由一个函数来完成的: void xf86DrvMsg(int scrnIndex, MessageType type, const char *format, …) scinIndex:是目前的screen的一个索引。 MessageType:是用来定义信息类型,是一个枚举量:

/* Flags for log messages. */
typedef enum {
    X_PROBED, /* Value was probed */
    X_CONFIG, /* Value was given in the config file */
    X_DEFAULT, /* Value is a default */
    X_CMDLINE, /* Value was given on the command line */
    X_NOTICE, /* Notice */
    X_ERROR, /* Error message */
    X_WARNING, /* Warning message */
    X_INFO, /* Informational message */
    X_NONE, /* No prefix */
    X_NOT_IMPLEMENTED, /* Not implemented */
    X_UNKNOWN = -1 /* unknown -- this must always be last */
} MessageType;

back to loglist

应用日志

  1. /var/log/httpd: 包含服务器accesslog和error log
  2. /var/log/lighttpd/: 包含light HTTPD的accesslog and error log
  3. /var/log/mail/: 包含邮件服务器的额外日志
  4. /var/log/prelink/: 包含.so文件被prelink修改的信息
  5. /var/log/samba/: 包含 由samba存储的信息
  6. /var/log/sa/: 包含每日由sysstat软件包手机的sar文件
  7. /var/log/sssd/: 用于守护进程安全服务

Back to blog