Trong Linux / Unix / Posix (nhưng từ đây tôi sẽ chỉ nói 'Linux') tất cả các nhật ký được viết dưới dạng tệp văn bản - vì vậy mọi thứ đọc tệp văn bản đều có thể đọc nhật ký.
Những gì bạn thấy trong MSWindows Event Viewer là các thông báo được ghi bởi cơ sở ghi nhật ký hệ thống - không có gì để ngăn các ứng dụng ghi nhật ký ở nơi khác (và đôi khi có những lý do chính đáng để không sử dụng các phương tiện ghi nhật ký hệ thống). Tình trạng tương tự tồn tại trong Linux - có 2 trình nền nên được khởi động khi hệ thống khởi động - syslogd và klogd . Cái sau ghi lại tin nhắn được tạo từ kernel trong khi cái trước ghi lại tin nhắn từ chương trình. Hành vi của Syslogd có thể định cấu hình - tệp cấu hình thường là /etc/syslog.conf
(các liên kết tôi đã cung cấp ở đây là các tài liệu đã có sẵn trên hệ thống của bạn - thử gõ, ví dụ: 'man syslog' tại dấu nhắc).
Theo quy ước, các tệp nhật ký phải nằm trong một thư mục / var / log (/ var / adm / log trên một số hệ thống). Thông thường, có một chương trình như logrotate định kỳ đổi tên các tệp cũ và xóa các tệp rất cũ (nó cũng có thể nén các tệp) khỏi thư mục nhật ký.
Vì vậy, để xem những gì đang xảy ra với người dùng đăng nhập vào hệ thống, tôi sẽ làm gì đó như sau:
[symcbean@linux]$ su
password:
[root@linux]# cd /var/log
[root@linux]# ls
(Tôi sẽ bỏ qua danh sách lớn các tệp được tạo tại thời điểm này)
[root@linux]# less secure
các trang chương trình ít tập tin văn bản hơn vào màn hình (và thêm các phương tiện để tìm kiếm và các chức năng khác) và thường là tiêu chuẩn. Một chương trình hữu ích khác là đuôi cho phép bạn nhập các mục mới khi chúng được thêm vào tệp. Có phiên bản nâng cao như multitail mà cho phép bạn nhìn vào nhiều tập tin và sẽ thêm màu sắc theo ngữ cảnh để đầu ra.
HTH
C.