Quandu affruntate ogni prublema cù u rendiment di u vostru servitore, u primu cosa chì vulete fà hè di fà verificate i vostri logs Linux. In u logu di u sistema, pudete truvà qualchi messagi di diagnostichi utili da diverse cumpunenti di u sistema upirativu cum'è u kernel o diversi servizii, cusì puderete truvà a causa di fallimentu quì.
Ogni missaghju in u logu hè generatu in u risultatu di certi avvenimenti in u sistema upirativu: da l'utilizatore, l'autorizazione per u serviziu di chjusu o fallimentu di l'applicazione. Questi avvenimenti anu priurità diverse secondu quantu critichi sò. Ci sò i seguenti tipi di avvenimenti in Linux:
emerg- fallimentu, a più alta priorità;alert- avvisu urgente;crit- avvenimentu criticu;err- errore ordinariu;warn- avvisu ordinariu;notice- notificazione;info- missaghju d'infurmazione;debug- infurmazione di debugging;
À u mumentu, i principali servizii di cugliera di logs in Linux sò rsyslog e systemd-journald. Andanu cù a maiò parte di i pacchetti di distribuzione muderni è travaglianu indipindente.
rsyslog
I logs di stu serviziu sò situati in "/ var / log /"cartulare in forma di schedarii di testu ordinariu. I missaghji di log sò messi in diversi schedarii secondu u tipu d'avvenimentu. Per esempiu, "/var/log/auth.log" cuntene infurmazione nantu à l'autorizazione di l'utilizatori in u sistema, è "/var/log/kern.log" cuntene i missaghji di u kernel. I nomi di i fugliali ponu differisce in i pacchetti di distribuzione, dunque fighjemu un ochju à u schedariu di cunfigurazione per avè l'idea di ciò chì hè induve "/etc/rsyslog.d/50-default.conf".
Queste regule mostranu quale fugliale cuntene ogni tipu di missaghji di log. A parte manca mostra u tipu di missaghju in a forma seguente "[Fonte].[Priorità]" è a parte dritta mostra u nome di u schedariu di log. Mentre scrive u tipu di missaghju "*" pò esse aghjuntu à u caratteru. Significa valore viotu o "mancunu" chì l'elimina da a lista. Fighjemu più attente à e duie prime regule.
“auth,authpriv.* /var/log/auth.log”
“*.*;auth,authpriv.none -/var/log/syslog”A prima regula significa chì tutti i missaghji ricevuti da u mecanismu d'autorizazione seranu arregistrati in "/var/log/auth.log". Tutti i tentativi d'autorizazione (sia riesciuti è micca) seranu arregistrati in stu schedariu. A seconda regula indica chì tutti i missaghji eccettu quelli cunnessi cù l'autorizazione seranu arregistrati in "/ var / log / syslog". Questi dui schedari sò generalmente i più populari. E regule seguenti definiscenu u percorsu per almacenà i logs di u kernel "kern.*" è i logs di serviziu di mail "mail.*"
I schedarii di logu ponu esse aperti cù l'aiutu di qualsiasi editore di testu, cum'è menu, gattu, cuda. Apremu u "/var/log/auth.log" schedariu
less /var/log/auth.log
Ogni linea di u schedariu hè un missaghju separatu ricevutu da l'applicazione o serviziu. Tutti i missaghji, a priscinniri di a so surgente hannu un furmatu è custituitu di 5 parti. Pigliemu u missaghju evidenziatu in a screenshot per esempiu.
- Timestamp di u messagiu - "12 di ferraghju 06:18:33"
- Nome di l'urdinatore chì hà mandatu u messagiu - "vds"
- Nome di l'applicazione o serviziu chì hà mandatu u messagiu - "sshd"
- ID di prucessu - [653]
- Testu di u messagiu - "Password accettata per mihail da 188.19.42.165 portu 2849 ssh2"
Questu era un esempiu di una cunnessione successu à SSH.
È eccu cumu si vede un tentativu di login senza successu:
Stu schedariu registra ancu cumandamenti cù permessi avanzati
Apremu u / var / log / syslog schedariu
Un missaghju evidenziatu nantu à a screenshot hè u missaghju nantu à a chjusa di l'interfaccia di a rete.
Per a ricerca di l'infurmazioni attraversu schedarii di testu longu utilizate grep utilità. Pudete truvà tutti i missaghji ricevuti da pptpd serviziu in u "/ var / log / syslog"file.
grep 'pptpd' /var/log/syslog
Durante u diagnosticu pudete aduprà cuda utilità chì pò vede parechje ultime linee di schedari. Cumanda "tail -f / var / log / syslog” vi permetterà di guardà i registri di registrazione in tempu reale.
U serviziu rsyslog hè assai flexible è putente. Pò esse usatu per a cugliera di tronchi in sistemi lucali è ancu à u livellu di l'impresa. Pudete truvà a documentazione completa nantu à u situ ufficiale https://www.rsyslog.com/
Rotazione di logs in Linux
L'arregistramentu di u logu hè accadutu continuamente, cusì a dimensione di i schedari cresce constantemente. U mecanismu di rotazione assicura l'archiviazione automatica di i vechji logs è a creazione di novi schedari. Sicondu e regule, pò accade ogni ghjornu, settimanale, mensili o per limitu di dimensione. Cum'è novi logs sò creati, i vechji ponu esse ghjustu sguassati o mandati per email. A rotazione di i logs hè fatta da rializatu utilità. Pudete truvà a cunfigurazione principale in "/etc/logrotate.confU cuntenutu di i schedari hè ancu trattatu in "/etc/logrotate.d/»Cartulare
Nuvelle regule ponu esse logate in u schedariu di cunfigurazione principale. Tuttavia, hè megliu creà un schedariu separatu in "/etc/logrotate.d/". Per automaticamente, ci sò uni pochi di schedari in stu cartulare
Fighjemu un ochju à u schedariu "/etc/logrotate.d/rsyslog" chì cuntene e regule di rotazione per i logs di u rsyslog serviziu.
Prima, a regula duveria cuntene u percorsu à u schedariu di logu è poi andate tutte e linee guida in parentesi curve.
- girà 7 - numeru di schedari da mantene - 7
- quotidien - crea un novu schedariu ogni ghjornu
- cumpressa - cumpressà è archiviate i fugliali antichi
Pudete vede nantu à a screenshot chì in u "/ var / log /"cartulare ci sò u logu principale"syslog” è 7 archivi, chì currisponde à e regule in u schedariu di cunfigurazione.
Pudete truvà una descrizzione più dettagliata di logrotate in u manuale, eseguendu u "omu lutu” cumanda
Raccolta di logs Linux - journald
Serviziu di raccolta di tronchi systemd-journald hè una parte di u sistema di inizializazione systemd. I schedarii di log Linux sò almacenati in "/var/log/journal/" in un formatu speciale è pò esse apertu cù l'aiutu di journalctl utilità. U furmatu di registrazione hè esattamente u listessu cum'è in rsyslog.
Command journalctl senza attributi mostra tutti i registri ma ùn hè micca adattatu per i registri più grande. Fighjemu un ochju à qualchi opzioni di sta utilità.
journalctl -b- mostra tutti i registri da l'ultimu principiujournalctl -S "2020-02-17 12:00" -U "2020-02-17 12:10"- mostra u record in un certu periodu di tempujournalctl -u pptpd- mostra i registri di un certu serviziujournalctl -k- mostra i missaghji di u kerneljournalctl -p err- mostra missaghji di una certa priorità, missaghji di priorità più altu in questu casu (crit, alert, emerg)journalctl -f- mostra missaghji in tempu reale
Per una megliu flessibilità, pudete combine queste opzioni. Mostramu tutti l'errori di u pptpd sirvizziu
journalctl -u pptpd -p err
Se specificate u percorsu à u schedariu eseguibile cum'è un attributu, l'utilità mostrarà tutti i missaghji mandati da stu schedariu. Mostramu tutti i missaghji mandati da u schedariu "/usr/bin/sudo” da 04:15 u 18 di ferraghju 2020. In fatti, mostrarà tutti i cumandamenti eseguiti cù permessi più altu.
journalctl -S "2020-02-18 04:15" /usr/bin/sudo
Per sapè quantu spazi di discu i schedarii di log occupanu per eseguisce u cumandimu seguitu
journalctl --disk-usagePer limità u schedariu di log à 1 Gb, eseguite u cumandimu seguitu
journalctl --vacuum-size=1GApertura di i schedarii binari
Avà fighjemu un ochju à qualchi schedari speciale in u "/ var / log /"cartulare induve tutti i tentativi di login sò almacenati. Questi schedari sò binari è ponu esse aperti solu cù prugrammi speciali.
/var/log/wtmp cuntene infurmazione nantu à i tentativi di login successu. Aduprate l'ultima utilità per apre.
/var/log/btmp - cuntene tutti i tentativi di login falluti. Pò esse apertu cù lastb cù permessi avanzati. Attributu -n definisce u numeru di linee affissate da a fine di u schedariu.
/var/log/lastlog - cuntene l'ora di l'ultima azzione di login per ogni record di contu. Pò esse apertu cun l'ultimu logu
