本文譯自linux-var-log-files，作為個人備忘。

　　如果您在Linux環境中花費大量時間，則必須知道日誌檔案的位置以及每個日誌檔案中包含的內容。

　　當系統執行平穩時，請花一些時間來學習和理解各種日誌檔案的內容，這將在出現危機時為您提供幫助，並且您必須檢視日誌檔案以找出問題所在。

　　/etc/rsyslog.conf控制某些日誌檔案中的內容。 例如，以下是rsyslog.conf中/var/log/messages的條目。

$ grep "/var/log/messages" /etc/rsyslog.conf
*.info;mail.none;authpriv.none;cron.none                /var
 
/log/messages

　　在上面的輸出中，

• * .info表示將記錄所有型別為INFO的日誌；
• mail.none，authpriv.none，cron.none指示這些錯誤訊息不應記錄到/var/log/messages檔案中；
• 您還可以指定* .none，這表示將不記錄任何日誌訊息；

　　以下是/ var / log /目錄下的20個不同的日誌檔案。 其中一些日誌檔案是特定於分發的。 例如，您將在基於Debian的系統上（例如，在Ubuntu上）看到dpkg.log。

/var/log/messages –包含全域性系統訊息，包括系統啟動期間記錄的訊息。 /var/log/messages中記錄了包括：mail，cron，daemon，kern，auth等。
 
/var/log/dmesg –包含核心ring緩衝區資訊。系統啟動時，它將在螢幕上列印一些訊息，以顯示有關核心在引導過程中檢測到的硬體裝置的資訊。這些訊息在核心ring緩衝區中可用，並且每當新訊息到來時，舊訊息就會被覆蓋。您也可以使用dmesg命令檢視此檔案的內容。
/var/log/auth.log –包含系統認證資訊，包括所使用的使用者登入名和身份驗證機制。
/var/log/boot.log –包含系統啟動時記錄的資訊
/var/log/daemon.log –包含由系統上執行的各種後臺守護程式記錄的資訊
/var/log/dpkg.log –包含使用dpkg命令安裝或刪除軟體包時記錄的資訊
/var/log/kern.log –包含核心記錄的資訊。幫助您解決定製核心的問題。
 
/var/log/lastlog –顯示所有使用者的最新登入資訊。這不是一個ascii檔案。您應該使用lastlog命令檢視此檔案的內容。
/var/log/maillog /var/log/mail.log –包含來自系統上執行的郵件伺服器的日誌資訊。例如，sendmail將有關所有已傳送專案的資訊記錄到此檔案中
/var/log/user.log –包含有關所有使用者級別日誌的資訊
/var/log/Xorg.x.log –記錄來自X的訊息
/var/log/alternatives.log –更新替代方法的資訊記錄到此日誌檔案中。在Ubuntu上，update-alternatives維護確定預設命令的符號連結。
/var/log/btmp –該檔案包含有關登入失敗嘗試次數的資訊。使用最後一個命令檢視btmp檔案。例如，“ last -f /var/log/btmp |more”
/var/log/cups –所有與印表機和列印相關的日誌訊息
/var/log/anaconda.log –安裝Linux時，所有與安裝相關的訊息都儲存在此日誌檔案中
/var/log/yum.log –包含使用yum安裝軟體包時記錄的資訊
/var/log/cron –每當cron守護程式（或anacron）啟動cron作業時，它將在該檔案中記錄有關cron作業的資訊
/var/log/secure –包含與身份驗證和授權特權有關的資訊。例如，sshd將所有訊息記錄在此處，包括登入失敗。
/var/log/wtmp或/var/log/utmp –包含登入記錄。使用wtmp可以找出誰登入了系統。 who命令使用此檔案顯示資訊。
/var/log/faillog -包含使用者失敗的登入嘗試次數。使用faillog命令顯示此檔案的內容。

　　除上述日誌檔案外，/var/log目錄還可能包含以下子目錄，具體取決於系統上執行的應用程式。

/var/log/httpd/（或）/var/log/apache2 –包含apache Web伺服器access_log和error_log
/var/log/lighttpd/ -包含簡單的HTTPD access_log和error_log
/var/log/conman/ – ConMan客戶端的日誌檔案。 conman連線由conmand守護程式管理的遠端控制檯。
/var/log/mail/ –此子目錄包含來自郵件伺服器的其他日誌。例如，sendmail將收集的郵件統計資訊儲存在/var/log/mail/statistics檔案中
/var/log/prelink/ –預連結程式修改共享庫和連結的二進位制檔案以加快啟動過程。 /var/log/prelink/prelink.log包含有關由預連結修改的.so檔案的資訊。
/var/log/audit/ –包含Linux審計守護程式（auditd）儲存的日誌資訊。
/var/log/setroubleshoot/ – SELinux使用setroubleshootd（SE故障排除守護程式）來通知檔案安全上下文中的問題，並將這些資訊記錄在此日誌檔案中。
/var/log/samba/ –包含samba儲存的日誌資訊，該資訊用於將Windows連線到Linux。
/var/log/sa/ –包含sysstat軟體包收集的每日sar檔案。
/var/log/sssd/ –由系統安全服務守護程式使用，該守護程式管理對遠端目錄和身份驗證機制的訪問。

　　您可以手動使用logrotate自動執行此操作，而不必手動嘗試歸檔日誌檔案，而是在x天后對其進行清理，或者在達到一定大小後刪除日誌，而是使用logrotate自動執行此操作。

　　要檢視日誌檔案，請使用以下任一方法。 但是，請不要執行“ cat | more'。

• vim –如果對vim命令感到滿意，請使用vim編輯器進行快速日誌檔案瀏覽。
• tail –如果要實時檢視日誌檔案的內容（在應用程式正在編寫日誌時），請使用“ tail -f”。 您也可以同時檢視多個日誌檔案（使用“ tail -f”）。
• grep –如果您確切地知道在日誌檔案中要查詢的內容，則可以快速使用grep命令grep模式。
• less – Less命令對於瀏覽日誌檔案非常強大。

參考原文

　　https://www.thegeekstuff.com/2011/08/linux-var-log-files/