92 votes

Différence entre /var/log/messages, /var/log/syslog et /var/log/kern.log ?

Dans le cadre de la journalisation du noyau, pourquoi ai-je trois niveaux de journalisation différents, non inclusifs, parmi les suivants /var/log/messages , /var/log/syslog et /var/log/kern.log ?

72voto

ulidtko Points 5283

Syslog est une installation de journalisation standard. Il collecte les messages de divers programmes et services, y compris le noyau, et les stocke, en fonction de la configuration, dans un ensemble de fichiers journaux, généralement sous le nom de /var/log . Dans certaines configurations de centres de données, il y a des centaines de dispositifs, chacun ayant son propre journal ; syslog est également très utile ici. Il suffit de mettre en place un serveur syslog dédié qui collecte tous les journaux des appareils individuels sur le réseau. Syslog peut également enregistrer les journaux dans des bases de données et d'autres clients.

D'après mon /etc/syslog.conf par défaut /var/log/kern.log ne capture que les messages du noyau, quel que soit le niveau de journalisation, c'est-à-dire que la sortie de la commande dmesg .

/var/log/messages vise plutôt à stocker des messages précieux, non débogués et non critiques. Ce journal doit être considéré comme le journal de "l'activité générale du système".

/var/log/syslog à son tour, enregistre tout, sauf les messages liés à l'authentification.

Les autres journaux standard intéressants gérés par syslog sont les suivants /var/log/auth.log , /var/log/mail.log .


Mise à jour 2020

Vous pouvez toujours tomber sur syslog, mais les valeurs par défaut ont changé.

journald a remplacé syslog, dans une grande partie des systèmes, y compris Ubuntu.

C'est important parce que vous ne trouverez pas /var/log/messages si souvent désormais. journald n'écrit pas de journaux en clair - il utilise son propre format, compressé et partiellement authentifié.

Recherchez en ligne, par exemple cheatsheet journalctl ou simplement étudier man 8 systemd-journald , man 1 journalctl vous-même.

Syslog et journald sont, dans une certaine mesure, compatibles entre eux ; vous pouvez transporter les journaux entre eux dans les deux sens. Cependant, vous n'obtiendrez pas de journaux en texte clair à la manière de /var/log/messages avec journald ; et vous n'obtiendrez pas d'informations structurées ( journalctl -o json-pretty ) et la journalisation authentifiée avec syslog.

14voto

saniul Points 2595
  • syslog contient tous les messages sauf ceux de type auth.
  • ne contient que des messages génériques non critiques. La catégorie est info , notice et warn
  • Pour le journal complet, voir /var/log/syslog et /var/log/auth.log
  • AFAIK /var/log/kern.log contient des messages du noyau.
  • Les fichiers journaux sont juste une convention décrite dans /etc/syslog.conf.
  • lire syslog(3) pour plus d'informations

Consultez cette page sur différences entre les messages et le syslog

il dit /var/log/messages /var/log/syslog

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

X