Linux的软件大多数将他们的日志信息发送到/var/log目录下的文件中。在有些发行版本上，日志也保存在/var/adm里。

大多数程序都把它们的日志项发送到一个称为SYSLOG的中央清理系统，默认的syslog配置一般将这些信息的大部分转储到/var/log中的某个地方。检查系统日志的配置文件/etc/syslog.conf,找到这些信息究竟存放在什么地方。

日志文件列表：

message 往往是主要的系统日志文件

syslog 往往是主要的系统日志文件

auth.log 授权

secure 保密的授权消息

boot.log 系统启动教本的输出

dmesg 内核消息缓冲的转储

wtmp 登陆记录（二进制）

lastlog 每个用户上次登陆的时间（二进制）

setuid.* 系统上setuid文件的清单

debug 调试输出（在启动时）

faillog 不成功的登陆企图

stdo.log 通过sudo得到root访问权限的记录

wtmp和lastlog文件是以二进制形式保存的，使用last命令可以解读这些信息。

内核和启动日志

内核的日志机制是通过让内核把它的日志项保存在一个大小有限的缓冲区来做到的。缓冲区要足够大，以便放的下内核引导是的活动所产生的全部消息。一旦系统全部启动以后，用户进程就可以访问内核的日志缓冲，最终处理它的内容。各发行版本一般是运行dmesg命令，并把它的输出重定向到/var/log/dmesg(Red hat和Debian)或者/var/log/boot.msg(SuSE).

来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/312079/viewspace-245336/，如需转载，请注明出处，否则将追究法律责任。