25.4.4 搜索并查看服务日志

日志文件提供了用于查看消息存储和管理日志数据的基本界面。对于给定的服务，日志文件以时间先后次序列出。选择要搜索的日志文件后，您可以通过指定搜索参数来缩小对单个事件的搜索范围。

25.4.4.1 搜索参数

以下是可以指定用于查看日志数据的有用搜索参数：

• 时间段。您可以指定从其中检索事件的特定时间段的开始和结束时间，也可以指定要搜索的天数（当前日期之前）。通常，您可以指定一个范围以查看导致服务器崩溃的日志事件或在已知时间发生的其他事件。或者，您可以指定一天的范围以仅查看在当前日志文件中今天的事件。

• 日志记录的级别。您可以指定日志记录的级别（请参见25.4.1.1 日志记录级别）。例如，选取“紧急”查看服务器关闭的原因，或者选取“错误”查找失败的协议调用。

• 工具。您可以指定工具（请参见25.4.1.2 日志事件的类别）。例如，如果确信服务器崩溃涉及磁盘错误，则选择“存储”，或如果问题在于 IMAP 协议命令错误，则选择“协议”。

• 文本搜索模式。您可以提供文本搜索模式以进一步缩小搜索范围。您可以包括可表示为通配符类型搜索的事件的任何部分（请参见25.4.2 了解服务日志文件格式），例如已知定义要检索的某个事件或多个事件的事件时间、进程名、进程 ID 和事件消息的任何部分（例如远程主机名、函数名、错误号等）。

  您的搜索模式可以包括以下特定字符和通配字符：

* 任何字符集（示例：*.com）

? 任何单个字符（示例：199?）

[nnn] nnn 集中的任何字符（示例：[aeiou]）

[^nnn] nnn 集中没有的任何字符（示例：[^aeiou]）

[n-m] 任何在 n-m 范围内的字符（示例：[A-Z]）

[^n-m] 任何不在 n-m 范围内的字符（示例：[^0-9]）

\ 转义符：置于 *、?、[ 或 ] 之前以将这些符号用作字面值

注释：搜索区分大小写。

查看日志时，组合日志记录级别和设备的示例可能包括以下几种：

• 指定 "Account" 设备（和 "Notice" 级别）以显示失败的登录，这在调查潜在的安全破坏时可能会有用

• 指定 "Network" 设备（和所有日志记录级别）以调查连接问题

• 指定所有设备（和 "Critical" 日志记录级别）以查找服务器功能方面的基本问题