在Linux / Unix / Posix中(但是从这里我只说’Linux’)所有日志都写成文本文件 – 所以读取文本文件的任何东西都可以读取日志.

您在MSWindows事件查看器中看到的是系统日志记录工具记录的消息 – 没有什么可以阻止应用程序在其他地方写入日志(有时候有充分的理由不使用系统日志记录工具). Linux中存在相同的情况 – 系统启动时应该启动2个守护进程–syslogd和klogd.后者记录从内核生成的消息,而前者记录来自程序的消息. Syslogd的行为是可配置的 – 配置文件通常是/etc/syslog.conf

(我在这里提供的链接是应该在您的系统上已经可用的文档 – 尝试输入,例如在提示符下输入’man syslog’).

按照惯例,日志文件应位于/ var / log目录(某些系统上的/ var / adm / log)中.通常,有一个像logrotate这样的程序,它定期重命名旧文件,并从日志目录中删除非常旧的文件(它也可能压缩文件).

因此,要查看用户登录系统时发生的情况,我会做以下事情：

[symcbean@linux]$su
password:
[root@linux]# cd /var/log
[root@linux]# ls

(我将省略此时生成的大文件列表)

[root@linux]# less secure

less程序将文本文件页面添加到屏幕上(并添加了搜索功能和其他功能),通常作为标准配置.另一个有用的程序是tail,它允许您将新条目添加到文件中.有一些增强版本,例如multitail,它可以让你查看多个文件,并为输出添加上下文颜色.

HTH

C.