Debian日志文件通常位于/var/log目录下,不同类型日志格式略有差异,但核心结构相似,主要有以下两种格式:
传统syslog格式:由rsyslog等工具生成,常见于/var/log/syslog、/var/log/auth.log等文件,格式为:
时间戳 主机名 进程名[进程ID]: 日志级别 消息内容
示例:Oct 10 12:34:56 debian-server sshd[1234]: Failed password for user from 192.168.1.1。
systemd-journald格式:较新系统中由systemd-journald管理,通过journalctl查看,支持结构化输出,包含更多元数据(如_PID、_UID等),格式更灵活,可输出为JSON等格式。
示例(JSON格式):{"_PID":1234,"_UID":0,"MESSAGE":"Failed password for user from 192.168.1.1"}。
部分日志(如dmesg)为内核原始输出,格式较简单,以时间戳+内核消息为主。