常见日志文件

1. /var/log/boot.log
   开机启动的时候系统内核会去检测与启动硬件，接下来开始启动各种内核支持得功能等。这些流程都会记录在/var/log/boot.log 里面。不过这个文件只会存储本次开机启动的信息，之前的启动信息并不会保留下来
2. /var/log/cron
   crontab任务有没有实际的被执行，以及执行过程中有没有发生错误，以及/etc/crontab是否编写正确，在这个日志文件内可以查看
3. /var/log/dmesg
   记录系统在开机的时候内核检测过程所产生的各项信息，由于centos默认将开机启动时内核的硬件检测过程取消显示，因此额外将数据记录一份在这个文件中。
4. /var/log/maillog 或 /var/log/mail/*
   记录邮件的往来信息
5. /var/log/messages
   系统发生的错误信息（或是重要的信息）都会记录在这个文件中，如果系统发生莫名的错误时，这个文件是查看的日志文件之一
6. /var/log/secure
   只要涉及到（需要输入账号密码）的软件，那么当登陆时（不管登陆是否成功）都会被记录在这个文件里。包括系统的login程序，图形用户界面模式登陆所使用的gdm,su,sudo等程序，还有网络连接的ssh,telnet 等程序，登陆信息都会被记录在这里
7. /var/log/wtmp /var/log/faillog
   这两个文件可以记录正确登录系统的账户信息（wtmp）, 与错误登录时所使用的账户信息（faillog）,last 就是来读取wtmp显示的，这主要是用于检查一般账号者的使用操作。
8. /var/log/httpd/ ， /var/log/samba/
   服务所产生的日志文件，不同的网络服务会使用它们自己的日志文件来记录它们自己产生的各项信息。

系统日志切割工具logrotate

1. 如果没有日志轮转，日志文件会越来越大，最后导致日志打不开或者是打开时间过长
2. 将丢弃系统中最旧的日志文件，以节省空间
3. logrotate本身不是系统进程，即日志的轮转不会自动执行，它是通过写到相应的配置文件中使用计划任务crond每天执行
4. 对日志的切割，你只需要给他定义一个规则
   主配置文件‘

[root@aliyun ~]# sed '/^#/d' /etc/logrotate.conf 
weekly            //轮转的周期，一周轮转
rotate 4        //保留4份
create            //轮转后创建新文件
dateext            //使用日期作为后缀
include /etc/logrotate.d    //包含该目录下的文件
/var/log/wtmp {                //对该日志文件设置轮转的方法
    monthly                    //一月轮转一次
    create 0664 root utmp     //轮转后创建新文件，并设置权限属主和属组
    minsize 1M                //最小达到1M才轮转，即达到了规定的时间但是大小没有达到也不会轮转
    rotate 1                //保留1份
}
/var/log/btmp {
    missingok                //丢失不提醒 
    monthly                    //一月轮转一次
    create 0600 root utmp
    rotate 1
}