Linux журналдарын қалай оқуға болады және оны қайдан табуға болады

Серверіңіздің жұмысына қатысты қандай да бір мәселелерге тап болсаңыз, бірінші орындағыңыз келетін нәрсе Linux журналдарын тексеріңіз. Жүйе журналында сіз ядро ​​немесе әртүрлі қызметтер сияқты операциялық жүйенің әртүрлі құрамдас бөліктерінен кейбір пайдалы диагностикалық хабарларды таба аласыз, сондықтан ақаулық себебін сол жерден таба аласыз.

Журналдағы әрбір хабар операциялық жүйедегі белгілі бір оқиғалардың нәтижесінде жасалады: пайдаланушыдан авторизациядан қызметтің өшірілуіне немесе қолданбаның сәтсіздігіне дейін. Бұл оқиғалардың қаншалықты маңыздылығына байланысты басымдықтары әртүрлі. Linux жүйесінде оқиғалардың келесі түрлері бар:

1. emerg - сәтсіздік, жоғары басымдық;
2. alert - шұғыл ескерту;
3. crit - сыни оқиға;
4. err - қарапайым қателік;
5. warn - кәдімгі ескерту;
6. notice - хабарлама;
7. info - ақпараттық хабарлама;
8. debug - жөндеу туралы ақпарат;

Қазіргі уақытта Linux жүйесіндегі негізгі журналдарды жинау қызметтері болып табылады rsyslog және systemd-журнал. Олар заманауи тарату пакеттерінің көпшілігімен бірге жүреді және дербес жұмыс істейді.

rsyslog

Бұл қызметтің журналдары «/ var / log /” қалтасы кәдімгі мәтіндік файлдар түріндегі. ​​Журнал хабарлары оқиға түріне байланысты әртүрлі файлдарға қойылады. Мысалы, “/var/log/auth.log» пайдаланушылардың жүйедегі авторизациясы туралы ақпаратты қамтиды және «/var/log/kern.log” құрамында ядролық хабарлар бар. Файлдардың атаулары тарату бумаларында әр түрлі болуы мүмкін, сондықтан ненің қайда екені туралы түсінік алу үшін конфигурация файлын қарастырайық./etc/rsyslog.d/50-default.conf«.

Бұл ережелер журнал хабарларының әрбір түрін қамтитын файлды көрсетеді. Сол жақ бөлік келесі пішінде хабарлама түрін көрсетеді «[Дереккөз].[Басымдылық]” және оң жақ бөлік журнал файлының атауын көрсетеді. Хабарлама түрін жазу кезінде “*” таңбасын қосуға болады. Ол бос мәнді немесе “бірде-бір” бұл оны тізімнен алып тастайды.Алғашқы екі ережені толығырақ қарастырайық.

“auth,authpriv.* /var/log/auth.log”
“*.*;auth,authpriv.none -/var/log/syslog”

Бірінші ереже авторизация механизмінен алынған барлық хабарламалар «/var/log/auth.log” файлы. Барлық авторизация әрекеттері (сәтті де, жоқ та) осы файлда тіркеледі. Екінші ереже авторизацияға байланысты хабарламалардан басқа барлық хабарламалар “” ішіне жазылатынын көрсетеді./ var / log / syslog” файлы. Бұл екі файл әдетте ең танымал болып табылады. Келесі ережелер ядро ​​журналдарын сақтау жолын анықтайды “ядро.*» және пошта қызметі журналдары «пошта.*«

Журнал файлдарын кез келген мәтіндік редактордың көмегімен ашуға болады, мысалы Аздау, мысық, құйрық. ашайық «/var/log/auth.log” файлы

less /var/log/auth.log

Файлдың әрбір жолы қолданбадан немесе қызметтен алынған жеке хабарлама болып табылады. Барлық хабарламалар қайнар көзіне қарамастан бір форматқа ие және 5 бөліктен тұрады. Мысал ретінде скриншотта ерекшеленген хабарламаны алайық.

1. Хабардың уақыт белгісі - "12 ақпан 06:18:33"
2. Хабарламаны жіберген компьютердің атауы – “vds”
3. Хабарламаны жіберген қолданбаның немесе қызметтің атауы – “sshd”
4. Процесс идентификаторы - [653]
5. Хабарлама мәтіні - «Mihail үшін 188.19.42.165 2849 ssh2 портынан қабылданған құпия сөз»

Бұл SSH-ге сәтті қосылудың мысалы болды.

Сәтсіз кіру әрекеті келесідей көрінеді:

Бұл файл қосымша рұқсаттары бар пәрмендерді де жазады

ашайық / var / log / syslog файл

Скриншотта бөлектелген хабар желі интерфейсінің өшірілуі туралы хабар болып табылады.

Ұзын мәтіндік файлдар арқылы ақпаратты іздеу үшін пайдаланыңыз grep утилита. Сіз келген барлық хабарламаларды таба аласыз pptpd қызмет көрсету «/ var / log / syslog” файлы.

grep 'pptpd' /var/log/syslog

Диагностика кезінде сіз пайдалана аласыз құйрық файлдардың бірнеше соңғы жолын көрсете алатын қызметтік бағдарлама. пәрмені «tail -f / var / log / syslog” нақты уақыт режимінде журналдардың жазылуын көруге мүмкіндік береді.

Қызмет rsyslog өте икемді және күшті. Оны жергілікті жүйелерде, сондай-ақ кәсіпорын деңгейінде журналдарды жинау үшін пайдалануға болады. Толық құжаттаманы ресми сайттан таба аласыз https://www.rsyslog.com/

Linux жүйесінде журналдарды айналдыру

Журналды жазу үздіксіз орындалады, сондықтан файлдардың өлшемі үнемі өседі. Айналдыру механизмі ескі журналдарды автоматты түрде мұрағаттауды және жаңа файлдарды құруды қамтамасыз етеді. Ережелерге байланысты ол күнделікті, апта сайынғы, ай сайынғы немесе өлшем шегі бойынша болуы мүмкін. Жаңа журналдар жасалғандықтан, ескілерін жай ғана жоюға немесе электрондық пошта арқылы жіберуге болады. Журналдарды айналдыру арқылы орындалады логротация утилита. Негізгі конфигурацияны «/etc/logrotate.confФайлдар мазмұны да өңделеді./etc/logrotate.d/»Папкасы

Жаңа ережелерді негізгі конфигурация файлына енгізуге болады. Дегенмен, бөлек файлды «/etc/logrotate.d/”. Әдепкі бойынша бұл каталогта бірнеше файл бар

Файлды қарастырайық «/etc/logrotate.d/rsyslog" ол журналдар үшін айналдыру ережелерін қамтиды rsyslog қызмет.

Біріншіден, ереже журнал файлына жолды қамтуы керек, содан кейін қисық жақшадағы барлық нұсқауларды өту керек.

• 7. айналдыру - сақталатын файлдар саны - 7
• күн сайын - күн сайын жаңа файл жасаңыз
• қысу - ескі файлдарды сығу және мұрағаттау

Скриншотта сіз «/ var / log /» қалтасында негізгі журнал бар «syslog” және конфигурация файлындағы ережелерге сәйкес келетін 7 мұрағат.

Логротаттың егжей-тегжейлі сипаттамасын нұсқаулықтан таба аласыз, «адам логротаты” пәрмені

Linux журналдарын жинау - журналда

Бөренелер жинау қызметі systemd-журнал инициализация жүйесінің бөлігі болып табылады systemd. Linux журнал файлдары «/var/log/journal/” арнайы форматта және көмегімен ашуға болады journalctl утилита. Жазбалар пішімі бұрынғымен бірдей rsyslog.

бұйрық journalctl атрибуттары жоқ барлық жазбаларды көрсетеді, бірақ ол үлкенірек журналдар үшін жарамсыз. Осы қызметтік бағдарламаның кейбір нұсқаларын қарастырайық.

• journalctl -b - соңғы басталудан бастап барлық жазбаларды көрсету
• journalctl -S "2020-02-17 12:00" -U "2020-02-17 12:10" - белгілі бір уақыт аралығында жазбаны көрсету
• journalctl -u pptpd - белгілі бір қызметтің жазбаларын көрсету
• journalctl -k - ядролық хабарламаларды көрсету
• journalctl -p err - белгілі бір басымдықтағы хабарларды, бұл жағдайда жоғарырақ хабарларды көрсету (критикалық, ескерту, шұғыл)
• journalctl -f - нақты уақыт режимінде хабарларды көрсету

Жақсырақ икемділік үшін осы опцияларды біріктіруге болады. Барлық қателерді көрсетейік pptpd қызмет көрсету

journalctl -u pptpd -p err

Атрибут ретінде орындалатын файлға жолды көрсетсеңіз, қызметтік бағдарлама осы файл жіберген барлық хабарларды көрсетеді. Файл жіберген барлық хабарларды көрсетейік «/usr/bin/sudo” 04 жылдың 15 ақпанында 18:2020 бастап. Іс жүзінде ол жоғары рұқсаттармен орындалған барлық пәрмендерді көрсетеді.

journalctl -S "2020-02-18 04:15" /usr/bin/sudo

Келесі пәрменді орындау үшін журнал файлдары қанша дискілік орын алатынын білу үшін

journalctl --disk-usage

Журнал файлын 1 Гб дейін шектеу үшін келесі пәрменді орындаңыз

journalctl --vacuum-size=1G

Екілік файлдарды ашу

Енді кейбір арнайы файлдарды қарастырайық «/ var / log /” барлық кіру әрекеттері сақталатын қалта. Бұл файлдар екілік болып табылады және оларды тек арнайы бағдарламалармен ашуға болады.

/var/log/wtmp сәтті кіру әрекеттері туралы ақпаратты қамтиды. Оны ашу үшін соңғы қызметтік бағдарламаны пайдаланыңыз.

/var/log/btmp - барлық сәтсіз кіру әрекеттерін қамтиды. Оны lastb көмегімен кеңейтілген рұқсаттармен ашуға болады. Атрибут -n файлдың соңынан бастап көрсетілетін жолдар санын анықтайды.

/var/log/lastlog - әрбір тіркелгі жазбасы үшін соңғы кіру әрекетінің уақытын қамтиды. көмегімен ашуға болады соңғы журнал