Hvernig á að lesa Linux logs og hvar á að finna það

Þegar þú stendur frammi fyrir einhverjum vandamálum með frammistöðu netþjónsins þíns er það fyrsta sem þú vilt gera að gera athugaðu Linux logs. Í kerfisskránni geturðu fundið gagnleg greiningarskilaboð frá mismunandi hlutum stýrikerfisins eins og kjarnanum eða ýmsum þjónustum, svo þú munt líklega finna orsök bilunar þar.

Sérhver skilaboð í skránni verða til í kjölfar ákveðinna atburða í stýrikerfinu: frá notanda, heimild til lokunar þjónustu eða bilunar í forriti. Þessir atburðir hafa mismunandi forgangsröðun eftir því hversu mikilvægir þeir eru. Það eru eftirfarandi tegundir viðburða í Linux:

1. emerg - bilun, hæsta forgang;
2. alert - brýn viðvörun;
3. crit - mikilvægur atburður;
4. err - venjuleg villa;
5. warn - venjuleg viðvörun;
6. notice - tilkynning;
7. info - upplýsingaskilaboð;
8. debug - villuleitarupplýsingar;

Í augnablikinu eru helstu skráningarþjónustur í Linux rsyslog og systemd-dagbók. Þeir fara með flestum nútíma dreifingarpakka og vinna sjálfstætt.

rsyslog

Skrár yfir þessa þjónustu eru staðsettar í "/ var / log /" möppu í formi venjulegra textaskráa. Notkunarskilaboð eru sett í mismunandi skrár eftir tegund atburðar. Til dæmis, "/var/log/auth.log" inniheldur upplýsingar um heimild notenda í kerfinu, og "/var/log/kern.log" inniheldur kjarnaskilaboð. Nöfn skráa geta verið mismunandi eftir dreifingarpakka, svo við skulum kíkja á stillingarskrána til að fá hugmynd um hvað er hvar "/etc/rsyslog.d/50-default.conf".

Þessar reglur sýna hvaða skrá inniheldur hverja tegund af logskilaboðum. Vinstri hluti sýnir tegund skilaboða á eftirfarandi formi "[Heimild].[Forgangur]" og hægri hluti sýnir nafn skrárinnar. Þegar þú skrifar tegund skilaboða "*" hægt er að bæta við staf. Það þýðir tómt gildi eða "enginn“ sem fjarlægir það af listanum. Við skulum skoða fyrstu tvær reglurnar nánar.

“auth,authpriv.* /var/log/auth.log”
“*.*;auth,authpriv.none -/var/log/syslog”

Fyrsta reglan þýðir að öll skilaboð sem berast frá heimildarkerfinu verða skráð í "/var/log/auth.log" skrá. Allar heimildartilraunir (bæði árangursríkar og ekki) verða skráðar í þessa skrá. Önnur reglan gefur til kynna að öll skilaboð nema þau sem tengjast heimild verða skráð í "/ var / log / syslog" skrá. Þessar tvær skrár eru venjulega vinsælastar. Eftirfarandi reglur skilgreina slóðina til að geyma kjarnaskrár "kjarna.*" og póstþjónustuskrár "póstur.*"

Hægt er að opna annálaskrár með hjálp hvaða textaritils sem er, eins og minna, köttur, hali. Við skulum opna „/var/log/auth.log” skrá

less /var/log/auth.log

Sérhver lína í skránni er sérstök skilaboð sem berast frá forritinu eða þjónustunni. Öll skilaboð óháð uppruna þeirra eru með einu sniði og samanstanda af 5 hlutum. Tökum auðkenndu skilaboðin á skjámyndinni sem dæmi.

1. Tímastimpill skilaboða - „12. feb 06:18:33“
2. Nafn tölvunnar sem sendi skilaboðin - "vds"
3. Nafn forritsins eða þjónustunnar sem sendi skilaboðin - „sshd“
4. Auðkenni ferli - [653]
5. Skilaboðatexti - "Samþykkt lykilorð fyrir mihail frá 188.19.42.165 port 2849 ssh2"

Þetta var dæmi um árangursríka tengingu við SSH.

Og svona lítur misheppnuð innskráningartilraun út:

Þessi skrá skráir einnig skipanir með háþróuðum heimildum

Við skulum opna / var / log / syslog skrá

Auðkennd skilaboð á skjámyndinni eru skilaboðin um lokun netviðmótsins.

Notaðu til að leita að upplýsingum í gegnum langar textaskrár grep gagnsemi. Þú getur fundið öll skilaboð sem berast frá pptpd þjónustu í „/ var / log / syslog” skrá.

grep 'pptpd' /var/log/syslog

Meðan á greiningu stendur er hægt að nota hali tól sem getur sýnt nokkrar síðustu línur af skrám. Skipun “hali -f / var / log / syslog“ mun leyfa þér að horfa á skráningarskrár í rauntíma.

The þjónusta rsyslog er mjög sveigjanlegt og öflugt. Það er hægt að nota til að safna annálum í staðbundnum kerfum sem og á fyrirtækisstigi. Þú getur fundið öll skjölin á opinberu vefsíðunni https://www.rsyslog.com/

Snúningur logs í Linux

Skráning á sér stað stöðugt, þannig að stærð skráanna stækkar stöðugt. Snúningsbúnaður tryggir sjálfvirka geymslu á gömlum annálum og stofnun nýrra skráa. Það fer eftir reglum, það getur gerst daglega, vikulega, mánaðarlega eða eftir stærðarmörkum. Þegar nýir annálar eru búnir til er hægt að eyða gömlum eða senda með tölvupósti. Logs snúningur er framkvæmdur af náð gagnsemi. Þú getur fundið helstu stillingar í "/etc/logrotate.conf" skrá. Innihald skráa er einnig unnið í "/etc/logrotate.d/”Möppu

Hægt er að skrá nýjar reglur inn í aðalstillingarskrána. Hins vegar er best að búa til sérstaka skrá í "/etc/logrotate.d/“. Sjálfgefið er að það eru nokkrar skrár í þessari möppu

Við skulum kíkja á skrána “/etc/logrotate.d/rsyslog" sem inniheldur snúningsreglur fyrir annála rsyslog þjónustu.

Í fyrsta lagi ætti reglan að innihalda slóðina að annálaskránni og fara síðan allar leiðbeiningar í bogadregnum sviga.

• snúa 7 - fjöldi skráa til að halda - 7
• daglega - búa til nýja skrá á hverjum degi
• þjappa - þjappa og geyma gamlar skrár

Þú getur séð á skjáskotinu að í „/ var / log /” möppu þar eru aðalskráin “syslog” og 7 skjalasafn, sem samsvarar reglum í stillingarskránni.

Þú getur fundið ítarlegri lýsingu á logrotate í handbókinni, með því að framkvæma „maður logrotate” skipun

Að safna Linux annálum - dagbók

Þjónusta við uppskeru timbur systemd-dagbók er hluti af frumstillingarkerfinu systemd. Linux log skrár eru geymdar í "/var/log/journal/” á sérstöku sniði og hægt er að opna með hjálp journalctl gagnsemi. Skráasnið er nákvæmlega það sama og í rsyslog.

Skipun journalctl án eiginleika sýnir allar færslur en það er ekki hentugur fyrir stærri annála. Við skulum skoða nokkra möguleika á þessu tóli.

• journalctl -b - sýna allar skrár frá síðustu ræsingu
• journalctl -S "2020-02-17 12:00" -U "2020-02-17 12:10" - sýna met innan ákveðins tímabils
• journalctl -u pptpd - sýna skrár yfir ákveðna þjónustu
• journalctl -k - sýna kjarnaskilaboð
• journalctl -p err - sýna skilaboð með ákveðinn forgang, skilaboð með hærri forgang í þessu tilviki (crit, alert, emerg)
• journalctl -f - sýna skilaboð í rauntíma

Fyrir betri sveigjanleika geturðu sameinað þessa valkosti. Við skulum sýna allar villur í pptpd þjónusta

journalctl -u pptpd -p err

Ef þú tilgreinir slóðina að keyrsluskránni sem eigind mun tólið sýna öll skilaboð sem þessi skrá sendir. Sýnum öll skilaboð send af skránni “/usr/bin/sudo” síðan 04:15 þann 18. febrúar 2020. Reyndar mun það sýna allar skipanir framkvæmdar með hærri heimildum.

journalctl -S "2020-02-18 04:15" /usr/bin/sudo

Til að komast að því hversu mikið pláss skrár taka upp til að framkvæma eftirfarandi skipun

journalctl --disk-usage

Til að takmarka annálaskrána við 1Gb skaltu framkvæma eftirfarandi skipun

journalctl --vacuum-size=1G

Að opna tvöfaldar skrár

Nú skulum við skoða nokkrar sérstakar skrár í „/ var / log /” möppu þar sem allar innskráningartilraunir eru geymdar. Þessar skrár eru tvöfaldar og aðeins hægt að opna þær með sérstökum forritum.

/var/log/wtmp inniheldur upplýsingar um árangursríkar innskráningartilraunir. Notaðu síðasta tól til að opna það.

/var/log/btmp - inniheldur allar misheppnaðar innskráningartilraunir. Það er hægt að opna með lastb með háþróaðri heimildum. Eiginleiki -n skilgreinir fjölda lína sem birtast frá enda skráarinnar.

/var/log/lastlog - inniheldur tíma síðustu innskráningaraðgerðar fyrir hverja reikningsskrá. Það er hægt að opna með síðasta log