Hogyan olvassa el a Linux naplóit és hol találja meg

Ha bármilyen problémával szembesül a szerver teljesítményével, az első dolog, amit tennie kell ellenőrizze a Linux naplóit. A rendszernaplóban találhat néhány hasznos diagnosztikai üzenetet az operációs rendszer különböző összetevőitől, például a kerneltől vagy különféle szolgáltatásoktól, így valószínűleg ott találja meg a hiba okát.

A naplóban szereplő minden üzenet az operációs rendszer bizonyos eseményeinek eredményeként jön létre: a felhasználótól, a jogosultságtól a szolgáltatás leállításáig vagy az alkalmazás meghibásodásáig. Ezeknek az eseményeknek más-más prioritásuk van attól függően, hogy mennyire kritikusak. Linuxban a következő típusú események vannak:

1. emerg - hiba, legmagasabb prioritás;
2. alert - sürgős figyelmeztetés;
3. crit - kritikus esemény;
4. err - közönséges hiba;
5. warn - rendes figyelmeztetés;
6. notice - értesítés;
7. info - tájékoztató üzenet;
8. debug - hibakeresési információk;

Jelenleg a fő naplógyűjtési szolgáltatások a Linuxban rsyslog és a systemd-journald. A legtöbb modern disztribúciós csomaghoz illeszkednek, és önállóan működnek.

rsyslog

A szolgáltatás naplói a következő helyen találhatók:/ var / log /” mappa közönséges szöveges fájlok formájában. A naplóüzenetek az esemény típusától függően különböző fájlokba kerülnek. Például: „/var/log/auth.log” információkat tartalmaz a felhasználók jogosultságáról a rendszerben, és a „/var/log/kern.log” kernel üzeneteket tartalmaz. A fájlok neve eltérhet a terjesztési csomagonként, ezért vessünk egy pillantást a konfigurációs fájlra, hogy megértsük, mi hol található/etc/rsyslog.d/50-default.conf".

Ezek a szabályok azt mutatják, hogy melyik fájl tartalmazza az egyes típusú naplóüzeneteket. A bal oldali rész az üzenet típusát jeleníti meg a következő formában:[Forrás].[Prioritás]” és a jobb oldali rész a naplófájl nevét jeleníti meg.*" karakter hozzáadható. Ez üres értéket vagy "egyik sem", amely eltávolítja a listáról. Nézzük meg közelebbről az első két szabályt.

“auth,authpriv.* /var/log/auth.log”
“*.*;auth,authpriv.none -/var/log/syslog”

Az első szabály azt jelenti, hogy az engedélyezési mechanizmustól kapott összes üzenet a „/var/log/auth.log” fájlba. Minden engedélyezési kísérlet (a sikeres és a sikertelen is) ebben a fájlban lesz regisztrálva. A második szabály azt jelzi, hogy az engedélyezéssel kapcsolatos üzenetek kivételével minden üzenet a „/ Var / log / syslog" fájl. Általában ez a két fájl a legnépszerűbb. A következő szabályok határozzák meg a kernelnaplók tárolásának elérési útját "alávágás.*"és levélszolgáltatási naplók"felad.*"

A naplófájlok bármely szövegszerkesztővel megnyithatók, pl kevesebb, hogyan, farok. Nyissuk meg a "/var/log/auth.log” fájlt

less /var/log/auth.log

A fájl minden sora az alkalmazástól vagy szolgáltatástól kapott külön üzenet. Minden üzenet, függetlenül a forrástól, egy formátumú, és 5 részből áll. Vegyük példaként a képernyőképen kiemelt üzenetet.

1. Üzenet időbélyegzője – „február 12. 06:18:33”
2. Az üzenetet küldő számítógép neve – „vds”
3. Az üzenetet küldő alkalmazás vagy szolgáltatás neve – „sshd”
4. Folyamatazonosító - [653]
5. Üzenet szövege – „Elfogadott jelszó a mihail számára a 188.19.42.165 2849-es ssh2 portról”

Ez volt egy példa az SSH-hoz való sikeres kapcsolódásra.

És így néz ki egy sikertelen bejelentkezési kísérlet:

Ez a fájl speciális jogosultságokkal rendelkező parancsokat is rögzít

Nyissuk ki a / Var / log / syslog filé

A képernyőképen kiemelt üzenet a hálózati interfész leállásáról szóló üzenet.

Hosszú szöveges fájlokon keresztüli információk kereséséhez használja grep hasznosság. Megtalálhatja az összes től érkezett üzenetet pptpd szolgáltatás a "/ Var / log / syslog”Fájl.

grep 'pptpd' /var/log/syslog

A diagnosztika során használhatja farok segédprogram, amely képes megjeleníteni a fájlok több utolsó sorát is. Parancs "tail -f / var / log / syslog” lehetővé teszi a naplók valós idejű rögzítését.

A szolgáltatás rsyslog nagyon rugalmas és erős. Használható rönkök betakarítására helyi rendszerekben és vállalati szinten is. A teljes dokumentációt megtalálja a hivatalos weboldalon https://www.rsyslog.com/

A naplók forgatása Linux alatt

A naplózás folyamatosan történik, így a fájlok mérete folyamatosan nő. A forgatási mechanizmus biztosítja a régi naplók automatikus archiválását és új fájlok létrehozását. A szabályoktól függően naponta, hetente, havonta vagy méretkorlátozás szerint történhet. Ahogy új naplók jönnek létre, a régiek egyszerűen törölhetők vagy e-mailben elküldhetők. A naplók elforgatását a elért hasznosság. A fő konfigurációt a "/etc/logrotate.conf" fájlban. A fájlok tartalmát a "/etc/logrotate.d/”Mappa

Az új szabályokat a fő konfigurációs fájlba lehet bejelentkezni. A legjobb azonban egy külön fájl létrehozása a "/etc/logrotate.d/Alapértelmezés szerint néhány fájl van ebben a könyvtárban

Nézzük meg a fájlt "/etc/logrotate.d/rsyslog", amely a naplók forgatási szabályait tartalmazza rsyslog szolgáltatás.

Először a szabálynak tartalmaznia kell a naplófájl elérési útját, majd az összes iránymutatást ívelt zárójelben kell tartalmaznia.

• forgassa el 7 - megőrizendő fájlok száma - 7
• napi - hozzon létre egy új fájlt minden nap
• borogatás - régi fájlok tömörítése és archiválása

A képernyőképen láthatja, hogy a „/ var / log /"mappa ott van a fő napló"syslog” és 7 archívum, amely megfelel a konfigurációs fájl szabályainak.

A logrotate részletesebb leírását a kézikönyvben találja, végrehajtva a „ember logrotateparancs

Linux naplók gyűjtése - naplód

Fakitermelési szolgáltatás systemd-journald az inicializálási rendszer része systemd. A Linux naplófájlok a "/var/log/journal/” speciális formátumban és segítségével nyitható meg Journalctl hasznosság. A felvételek formátuma pontosan ugyanaz, mint az előzőnél rsyslog.

parancs Journalctl attribútumok nélkül megjeleníti az összes rekordot, de nem alkalmas nagyobb naplókhoz. Vessünk egy pillantást a segédprogram néhány lehetőségére.

• journalctl -b - Mutasd az összes rekordot az utolsó indítás óta
• journalctl -S "2020-02-17 12:00" -U "2020-02-17 12:10" - rekordot mutatni egy bizonyos időtartamon belül
• journalctl -u pptpd - megmutatni egy bizonyos szolgáltatás rekordját
• journalctl -k - kernel üzenetek megjelenítése
• journalctl -p err - bizonyos prioritású, magasabb prioritású üzenetek megjelenítése ebben az esetben (crit, alert, emerg)
• journalctl -f - Jelenítse meg az üzeneteket valós időben

A jobb rugalmasság érdekében ezeket a lehetőségeket kombinálhatja. Mutassuk meg az összes hibáját pptpd szolgáltatás

journalctl -u pptpd -p err

Ha attribútumként megadja a végrehajtható fájl elérési útját, a segédprogram megjeleníti a fájl által küldött összes üzenetet. Mutassuk meg a fájl által küldött összes üzenetet/usr/bin/sudo” 04. február 15-án 18:2020 óta. Valójában az összes magasabb jogosultsággal végrehajtott parancsot megjeleníti.

journalctl -S "2020-02-18 04:15" /usr/bin/sudo

Megtudhatja, mennyi lemezterületet foglalnak el a naplófájlok a következő parancs végrehajtásához

journalctl --disk-usage

A naplófájl 1 GB-ra való korlátozásához hajtsa végre a következő parancsot

journalctl --vacuum-size=1G

Bináris fájlok megnyitása

Most vessünk egy pillantást néhány speciális fájlra a „/ var / log /” mappa, ahol az összes bejelentkezési kísérletet tárolja.. Ezek a fájlok binárisak és csak speciális programokkal nyithatók meg.

/var/log/wtmp információkat tartalmaz a sikeres bejelentkezési kísérletekről. Nyissa meg az utolsó segédprogramot.

/var/log/btmp - tartalmazza az összes sikertelen bejelentkezési kísérletet. Lastb-vel nyitható meg speciális jogosultságokkal. Attribútum -n meghatározza a fájl végétől megjelenő sorok számát.

/var/log/lastlog - minden számlarekordnál tartalmazza az utolsó bejelentkezési művelet idejét. Ezzel nyitható utolsó napló