E10.1 保留老日志文件的主要理由是什么？

A：除非你每天查看系统日志并记录有故障的消息，否则你就要保留老的日志文件，否则BOSS问起你来，你来什么来对付呢？

E10.2  lastlog和wtmp之间的区别是什么？每种日志合理的轮换策略是什么？

A：lastlog记录的是当前所有系统帐号的登录情况，记录每一个帐号最近的登录日期，登录端口/终端。如果没有登录过，则显示为从未登录。

而wtmp则是记录所有登录帐号的信息，包括该帐号登录的时间，登录终端，退出时间等。

E10.3 剖析和理解下面的syslog.conf文件：

*.notice;kern.debug;lpr.info;mail.crit;news.err /var/log/messages

它看上去合理吗？

A：*.notice已经包括了mail.crit,news.err日志信息了。另外*.notice这个内容也太多了，其次，kern.debug消息会太多，如果是生产系统，不应该把日志定义在debug状态，否则过多的信息否将真正有用的信息掩盖掉。

E10.4 看一遍您的日志文件，注意named的日志记录项。有什么机器试图动态更新您的名字域吗？他们取得成功了吗？

A： 俺暂时还找不到这样的日志数据来分析。

★ E10.5 你可以从哪些地方找到您机器上的引导日志？影响系统引导时日志记录机制的因素有哪些？klogd是如何解决这些问题的？

A：/var/log/dmesg日志文件记录了最新的系统引导日志。

★ E10.6 研究您的站点所采取的日志策略，包括日志文件轮换策略。为日志记录投入了多少磁盘空间？日志文件要保留多久？你可以预见站点策略显出不足的情形吗？您建议的解决方案是什么？

A：目前还没有管理过大型站点机群，平常也就是自己的电脑，加上几台托管的服务器，而日志这块，采用默认的策略，基本上就已经很好了。按照托管的机器服务器日志来看，一年增加的磁盘空间也不会超过5G。加上平常登录进去，也删除一些老的日志文件，所以基本上，日志这块没有着重考虑太多。

★ E10.7 有些日志消息极为重要，系统管理员应该立刻查看他们。您会安装什么系统来尽可能快的做到这点？

A：这个题目没有理解什么意思，不同的系统对于系统管理员看到日志的快慢有关系吗？一般来说，对于这类日志很重要的系统，乎采取日志过滤到特定的服务器上，然后采取“推(push)“的方式通知管理员，或者采取消息通知的方式告知管理员，不过这需要额外设备的支持，不如SMS通知方式。

★ E10.8 编写一个C程序或者Perl脚本，用“user“设备把消息提交给syslog。

A：书上提供了Perl脚本：

use Sys::Syslog;
openlog("adminscript","cons,pid","user");
syslog("warning","This is just FAKE warning message,don't worry");
closelog();

建议继续学习：

1. Linux系统管理手册习题实践    (阅读：2751)
2. linux系统管理技术手册第十二章系统实践    (阅读：2274)
3. Linux系统管理技术手册第三章习题实践    (阅读：2148)
4. Linux系统管理技术手册第四章习题实践    (阅读：2107)
5. Linux系统管理技术手册第五章习题实践    (阅读：2100)
6. Linux系统管理技术手册第十三章系统实践    (阅读：1994)
7. Linux系统管理技术手册第8章习题实践    (阅读：1888)
8. Linux系统管理技术手册第七章习题实践    (阅读：1797)
9. Linux系统管理技术手册第六章习题实践    (阅读：1736)
10. Linux系统管理手册第二章习题实践    (阅读：1718)