.

发生此事件的主机名；

.

启动此事件的服务名称

(

如

systemd, CROND

等

)

或指令与函式名称

(

如

su, login..)

；

.

该讯息的实际数据内容。

当然，这些信息的『详细度』是可以修改的，而且，这些信息可以作为系统除错之用呢！

我们拿登

录时一定会记载帐户信息的

/var/log/secure

为例好了：

[root@study ~]#

cat /var/log/secure

Aug 17 18:38:06 study login: pam_unix(login:session): session opened for user root by LOGIN(uid=0)

Aug 17 18:38:06 study login: ROOT LOGIN ON tty1

Aug 17 18:38:19 study login: pam_unix(login:session): session closed

for user root

Aug 18 23:45:17 study sshd[18913]: Accepted password for dmtsai from 192.168.1.200 port 41524 ssh2

Aug 18 23:45:17 study sshd[18913]: pam_unix(sshd:session): session opened for user dmtsai by (uid=0)

Aug 18 23:50:25 study sudo: dmtsai : TTY=p

ts/0 ; PWD=/home/dmtsai ; USER=root ; COMMAND=/bin/su

-

Aug 18 23:50:25 study su: pam_unix(su

-

l:session): session opened for user root by dmtsai(uid=0)

|

--

日期

/

时间

---

|

--

H

--

|

-

服

务

与相

关

函

数

-

|

-----------

讯

息

说

明

------

>

我们拿第一笔数据

(

共两行

)

来说明好了，该资料是说：『

在

08/17

的

18:38

左右，在名为

study

的

这部主机系统上，由

login

这个程序产生的讯息，内容显示

root

在

tty1

登入了，而相关的权限给

予是透过

pam_unix

模块处理的

(

共两行数据

)

。』有够清楚吧！那请您自行翻译一下后面的几条讯

息内容是什么喔！

其实还有很多的信息值得查阅的呢！尤其是

/var/log/messages

的内容。记得一个好的系统管理员，

要

常常去『巡视』登录档的内容喔！尤其是发生底下几种情况时：

.

当你觉得系统似乎不太正常时；

.

某个

daemon

老是无法正常启动时；

.

某个使用者老是无法登入时；

.

某个

daemon

执行过程老是不顺畅时；

还有很多啦！反正觉得系统不太正常，就得要查询查询登录档就是了。

Tips

提供一个鸟哥常做的检查方式。当我老是无法成功的启动某个服务时，我会在最后一

次启动该服务后，立即检查登录档，

先

(1)

找到现在时间所登录的信息『第一字段』；

(2)

找到我想要查询的那个服

务『第三字段』，

(3)

最后再仔细的查阅第四字段的信息，来½以找到错误点。

另外，不知道你会不会觉得很奇怪？为什么登录文件就是登录本机的数据啊～那怎么登录档格式中，

第二个字段项目是『主机名』啊？

这是因为登录档可以做成登录档服务器，可以收集来自其他服务

器的登录文件数据喔！所以啰，为了了½到该讯息主要是来自于哪一部主机，

当然得要有第二个字

段项目说明该信息来自哪一部主机名啰！