北京IT設備保修中日誌文件詳細地記錄了係統每天發生的各種各樣的事件。用戶可以通過日誌文件檢查錯誤產生的原因，或者在受到攻擊和黑客入侵時追蹤攻擊者的蹤跡。日誌的兩個比較重要的作用是：審核和監測。 Linux係統的日誌主要分為兩種類型： 

1．進程所屬日誌 由用戶進程或其他係統服務進程自行生成的日誌，比如服務器上的access_log與error_log日誌文件。

2．syslog消息 係統syslog記錄的日誌，任何希望記錄日誌的係統進程或者用戶進程都可以給調用syslog來記錄日誌。 

日誌係統可以劃分為三個子係統： 

1． 連接時間日誌--由多個程序執行，把紀錄寫入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使係統管理員能夠跟蹤誰在何時登錄到係統。 

2． 進程統計--由係統內核執行。當一個進程終止時，為每個進程往進程統計文件（pacct或acct）中寫一個紀錄。進程統計的目的是為係統中的基本服務提供命令使用統計。

3． 錯誤日誌--由syslogd（8）執行。各種係統守護進程、用戶程序和內核通過syslog（3）向文件/var/log/messages報告值得注意的事件。 

察看日誌文件 Linux係統所有的日誌文件都在/var/log下，且必須有root權限才能察看。

日誌文件其實是純文本的文件，每一行就是一個消息。察看方式有很多。 

1． cat命令。日誌文件總是很大的，因為從初次啟動Linux開始，消息都累積在日誌文件中。如果這個文件不隻一頁，那麽就會因為顯示滾動得太快看不清文件的內容。 

2． 文本編輯器。北京IT設備保修公司建議也不要用文本編輯器打開日誌文件，這是因為一方麵很耗費內存，另一方麵不允許隨意改動日誌文件。 

3．用more或less那樣的分頁顯示程序。 

4．用grep查找特定的消息。 

每一行表示一個消息，而且都由四個域的固定格式組成：

 n 時間標簽（timestamp），表示消息發出的日期和時間 n 主機名（hostname）（在好色先生IOS下载的例子中主機名為escher），表示生成消息的計算機的名字。如果隻有一台計算機，主機名就可能沒有必要了。但是，如果在網絡環境中使用syslog，那麽就可能要把不同主機的消息發送到一台服務器上集中處理。 n 生成消息的子係統的名字。可以是"kernel"，表示消息來自內核，或者是進程的名字，表示發出消息的程序的名字。在方括號裏的是進程的PID。 n 消息（message），剩下的部分就是消息的內容。 

舉例： 在[root@localhost root]# 提示符下輸入：tail /var/log/messages Jan 05 21:55:51 localhost last message repeated 3 times Jan 05 21:55:51 localhost kernel: [drm] AGP 0.99 on Intel i810 @ 0xf0000000 128M B Jan 05 21:55:51 localhost kernel: [drm] Initialized i830 1.3.2 20021108 on minor 0 Jan 05 21:55:51 localhost kernel: mtrr: base(0xf0000000) is not aligned on a siz e(0x12c000) boundary Jan 05 21:56:35 localhost 1月 28 21:56:35 gdm(pam_unix)[4079]: session opened f or user root by (uid=0) Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 正在啟動（版本 2. 2.0），pid 4162 用戶"root" Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re adonly:/etc/gconf/gconf.xml.mandatory"指向位於 0 的隻讀配置源 Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re adwrite:/root/.gconf"指向位於 1 的可寫入配置源 Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re adonly:/etc/gconf/gconf.xml.defaults"指向位於 2 的隻讀配置源 Jan 05 21:58:20 localhost kernel: MSDOS FS: IO charset cp936 值得注意的是，與連接時間日誌不同，進程統計子係統默認不激活，它必須啟動。在Linux 係統中啟動進程統計使用accton命令，必須用root身份來運行。accton命令的形式為：accton file，file必須事先存在。先使用touch命令創建pacct文件：touch /var/log/pacct，然後運行accton：accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令監測係統中任何時候執行的命令。若要關閉統計，可以使用不帶任何 參數的accton命令。