如何打开 .LOG 文件？

因为日志文件是纯文本格式，所以可以使用任何文本编辑器阅读它们。

nano <logfilename>

如果日志文件很小，那么可以在编辑器中打开日志文件，但如果日志文件很大，可以使用tail或者more命令
tail 命令显示文件中的最后几行。

使用 -n 开关（指定行数）指定要显示的行数，如下所示：

tail -n x <logfilename>

要查看文件的开头，请使用 head 命令。

非常大的日志通常被压缩。
我们将在 /var/log 中可以看到它们带有gz后缀。

分析日志文件的内容

系统日志文件 (syslog) 中的每一行都包含以下信息：

• 日期
• 主机名
• 应用程序/服务
• 信息

例如：

jan 20 12:28:56 gary-virtualbox systemd[1]: starting cups scheduler

这告诉我们cups scheduler 服务已于 1 月 20 日 12.28 启动。

轮换日志

日志文件会定期轮换，以免变得太大。

日志轮换实用程序负责轮换日志文件。
我们可以判断日志何时被轮换，因为它后面会跟着一个数字，例如 auth.log.1、auth.log.2.

可以通过编辑文件 /etc/logrotate.conf 来更改日志轮换的频率。

下面显示了 logrotate.conf 文件中的示例：

#rotate log files
weekly
#keep 4 weeks worth of log files
rotate 4 
#create new log files after rotating
create

这些日志文件每周轮换一次，并且在任何时间点都会保留四个星期的日志文件。
当日志文件轮换时，会在其位置创建一个新文件。

每个应用程序都可以有自己的轮换策略。
轮换策略保存在 /etc/logrotate.d 中。
每个需要自己的轮换策略的应用程序在此文件夹中都有一个配置文件。

例如工具apt在logrotate.d文件夹中有一个文件如下：

/var/log/apt/history.log {
 rotate 12
 monthly
 compress
 missingok
 notifempty
}

基本上，此日志会告诉我们以下内容： 该日志将保留 12 周的日志文件并每月轮换（每月一个）。
日志文件将被压缩。
如果没有消息写入日志（即它是空的），那么这是可以接受的。
如果日志为空，则日志不会轮换。

要修改文件的策略，先编辑文件，然后运行以下命令：

logrotate -f

关键系统日志

以下日志文件是要在 Linux 中查找的主要文件。

• Authorization：跟踪控制用户访问的授权系统的使用。
• Daemon：跟踪在后台运行的执行重要任务的服务。守护进程往往没有图形输出，因此我们需要阅读日志文件以了解守护进程的性能。
• Debug ：为应用程序提供调试输出。
• Kernel：显示有关内核的信息，包括错误。
• System ：包含有关我们系统的最多信息；如果应用程序没有自己的日志，则条目可能会在此日志文件中。

在哪里可以找到 Linux 日志文件？

日志文件提供 Linux 操作系统、应用程序和服务的事件时间线。

Linux 日志文件通常存储在文件夹 /var/log 中。

该文件夹包含大量文件，提供每个应用程序的详细信息。这些文件以纯文本形式存储。