ווי צו לייענען לינוקס לאָגס און ווו צו געפֿינען עס

ווען איר האָבן קיין פראבלעמען מיט די פאָרשטעלונג פון דיין סערווער, דער ערשטער זאַך איר ווילן צו טאָן איז צו קאָנטראָלירן דיין לינוקס לאָגס. אין די סיסטעם קלאָץ, איר קענען געפֿינען עטלעכע נוציק דיאַגנאָסטיקס אַרטיקלען פון פאַרשידענע קאַמפּאָונאַנץ פון די אָפּערייטינג סיסטעם ווי די קערן אָדער פאַרשידן באַדינונגס, אַזוי איר וועט רובֿ מסתּמא געפֿינען די סיבה פֿאַר דורכפאַל.

יעדער אָנזאָג אין די קלאָץ איז דזשענערייטאַד אין דער רעזולטאַט פון זיכער געשעענישן אין די אָפּערייטינג סיסטעם: פֿון דער באַניצער, דערלויבעניש צו פאַרמאַכן די סערוויס אָדער דורכפאַל פון אַפּלאַקיישאַן. די געשעענישן האָבן פאַרשידענע פּרייאָראַטיז דיפּענדינג אויף ווי קריטיש זיי זענען. עס זענען די פאלגענדע טייפּס פון געשעענישן אין לינוקס:

1. emerg - דורכפאַל, העכסטן בילכערקייַט;
2. alert - דרינגלעך ווארענונג;
3. crit - קריטיש געשעעניש;
4. err - פּראָסט טעות;
5. warn - פּראָסט ווארענונג;
6. notice - אָנזאָג;
7. info - אינפֿאָרמאַציע אָנזאָג;
8. debug - דיבאַגינג אינפֿאָרמאַציע;

אין דעם מאָמענט, די הויפּט לאָגס כאַרוואַסטינג באַדינונגס אין לינוקס זענען rsyslog און systemd-journald. זיי גיין מיט רובֿ פון די מאָדערן פאַרשפּרייטונג פּאַקאַדזשאַז און אַרבעט ינדיפּענדאַנטלי.

rsyslog

לאָגס פון דעם דינסט זענען ליגן אין "/ var / log /" טעקע אין די פאָרעם פון פּראָסט טעקסט טעקעס. קלאָץ אַרטיקלען זענען שטעלן אין פאַרשידענע טעקעס דיפּענדינג אויף די טיפּ פון געשעעניש. פֿאַר בייַשפּיל, "/var/log/auth.log" כּולל אינפֿאָרמאַציע וועגן די דערלויבעניש פון באַניצער אין די סיסטעם, און "/var/log/kern.log" כּולל קערן אַרטיקלען. טעקעס נעמען קענען זיין אַנדערש צווישן פאַרשפּרייטונג פּאַקאַדזשאַז, אַזוי לאָזן אונדז נעמען אַ קוק אין די קאָנפיג טעקע צו באַקומען דעם געדאַנק פון וואָס איז ווו "/etc/rsyslog.d/50-default.conf".

די כּללים ווייַזן וואָס טעקע כּולל יעדער טיפּ פון קלאָץ אַרטיקלען. די לינקס טייל דיספּלייז די טיפּ פון אָנזאָג אין די פאלגענדע פאָרעם "[מקור]. [בילכערקייַט]" און די רעכט טייל דיספּלייז די נאָמען פון די קלאָץ טעקע. בשעת שרייבן דעם טיפּ פון אָנזאָג "*" כאַראַקטער קענען זיין מוסיף צו. עס מיטל ליידיק ווערט אָדער "גאָרניט"וואָס רימוווז עס פון דער רשימה. לאָמיר נעמען אַ נעענטער קוק בייַ די ערשטער צוויי כּללים.

“auth,authpriv.* /var/log/auth.log”
“*.*;auth,authpriv.none -/var/log/syslog”

דער ערשטער הערשן מיטל אַז אַלע אַרטיקלען באקומען פון די דערלויבעניש מעקאַניזאַם וועט זיין רעקאָרדעד אין "/var/log/auth.log" טעקע. אַלע דערלויבעניש פרווון (ביידע געראָטן און ניט) וועט זיין רעגיסטרירט אין דעם טעקע. די צווייטע הערשן ינדיקייץ אַז אַלע אַרטיקלען אַחוץ די וואָס זענען פארבונדן מיט דערלויבעניש וועט זיין רעקאָרדעד אין "/ וואַר / קלאָץ / סיסלאָג" טעקע. די צוויי טעקעס זענען יוזשאַוואַלי די מערסט פאָלקס. די פאלגענדע כּללים דעפינירן דעם דרך צו קראָם קערן לאָגס "קערן.*" און פּאָסט סערוויס לאָגס "פּאָסט.*"

קלאָץ טעקעס קענען זיין עפן מיט די הילף פון קיין טעקסט רעדאַקטאָר, ווי ווייניקער, קאַץ, עק. לאָמיר עפֿענען דעם "/var/log/auth.log" טעקע

less /var/log/auth.log

יעדער שורה פון דער טעקע איז אַ באַזונדער אָנזאָג באקומען פון די אַפּלאַקיישאַן אָדער דינסט. אַלע אַרטיקלען ראַגאַרדלאַס פון זייער מקור האָבן איין פֿאָרמאַט און צונויפשטעלנ זיך פון 5 פּאַרץ. זאל ס נעמען די כיילייטיד אָנזאָג אין די סקרעענשאָט ווי אַ בייַשפּיל.

1. אָנזאָג צייט שטעמפּל - "12 פעברואר 06:18:33"
2. נאָמען פון די קאָמפּיוטער וואָס געשיקט דעם אָנזאָג - "vds"
3. נאָמען פון די אַפּלאַקיישאַן אָדער דינסט וואָס האָט געשיקט דעם אָנזאָג - "sshd"
4. פּראָצעס שייַן - [653]
5. אָנזאָג טעקסט - "אַקסעפּטיד פּאַראָל פֿאַר מיהאַיל פֿון 188.19.42.165 פּאָרט 2849 ssh2"

דאָס איז געווען אַ ביישפּיל פון אַ מצליח קשר צו SSH.

און דאָ ס ווי אַ ניט געראָטן לאָגין פּרווון קוקט:

דער טעקע אויך רעקאָרדירט ​​קאַמאַנדז מיט אַוואַנסירטע פּערמישאַנז

זאל ס עפענען די / וואַר / קלאָץ / סיסלאָג טעקע

א כיילייטיד אָנזאָג אויף די סקרעענשאָט איז דער אָנזאָג וועגן די שאַטדאַון פון די נעץ צובינד.

פֿאַר זוכן פֿאַר אינפֿאָרמאַציע דורך לאַנג טעקסט טעקעס נוצן grep נוצן. איר קענען געפֿינען אַלע אַרטיקלען באקומען פֿון pptpd סערוויס אין די "/ וואַר / קלאָץ / סיסלאָג" טעקע.

grep 'pptpd' /var/log/syslog

בעשאַס די דיאַגנאָסטיקס איר קענען נוצן עק נוצן וואָס קענען ווייַזן עטלעכע לעצטע שורות פון טעקעס. באַפֿעל "עק-ו / וואַר / קלאָץ / סיסלאָג"וועט לאָזן איר זען לאָגס רעקאָרדינג אין פאַקטיש צייט.

די דינסט rsyslog איז זייער פלעקסאַבאַל און שטאַרק. עס קענען זיין געוויינט פֿאַר כאַרוואַסטינג לאָגס אין היגע סיסטעמען און אויף די פאַרנעמונג מדרגה. איר קענען געפֿינען פול דאַקיומענטיישאַן אויף דער באַאַמטער וועבזייטל https://www.rsyslog.com/

לאָגס ראָוטיישאַן אין לינוקס

קלאָץ רעקאָרדינג איז געשעעניש קאַנטיניואַסלי, אַזוי די גרייס פון טעקעס קעסיידער וואקסט. ראָוטיישאַן מעקאַניזאַם ינשורז אָטאַמאַטיק אַרטשיווינג פון אַלט לאָגס און די שאַפונג פון נייַע טעקעס. דעפּענדינג אויף די כּללים, עס קען פּאַסירן טעגלעך, וויקלי, כוידעשלעך אָדער דורך גרייס לימיט. ווי נייַ לאָגס זענען באשאפן, אַלט אָנעס קענען זיין נאָר אויסגעמעקט אָדער געשיקט דורך E- בריוו. לאָגס ראָוטיישאַן איז געטאן דורך דערגרייכט נוצן. איר קענען געפֿינען די הויפּט קאַנפיגיעריישאַן אין "/etc/logrotate.confטעקע אינהאַלט איז אויך פּראַסעסט אין "/etc/logrotate.d/”טעקע

ניו כּללים קענען זיין לאָגד אין די הויפּט קאָנפיג טעקע. אָבער, עס איז בעסטער צו שאַפֿן אַ באַזונדער טעקע אין "/etc/logrotate.d/דורך פעליקייַט, עס זענען עטלעכע טעקעס אין דעם וועגווייַזער

לאָמיר נעמען אַ קוק אין דער טעקע "/etc/logrotate.d/rsyslog" וואָס כּולל ראָוטיישאַן כּללים פֿאַר לאָגס פון די rsyslog דינסט.

ערשטער, דער הערשן זאָל אַנטהאַלטן דעם דרך צו די קלאָץ טעקע און דאַן גיין אַלע גיידליינז אין קערווד בראַקאַץ.

• דרייען 7 - נומער פון טעקעס צו האַלטן - 7
• טעגלעך - שאַפֿן אַ נייַע טעקע יעדער טאָג
• קאָמפּרעס - קאָמפּרעס און אַרקייוו אַלט טעקעס

איר קענען זען אויף די סקרעענשאָט אַז אין די "/ var / log /" טעקע עס זענען די הויפּט קלאָץ "סיסלאָג” און 7 אַרקייווז, וואָס קאָראַספּאַנדז מיט די כּללים אין די קאָנפיג טעקע.

איר קענען געפֿינען אַ מער דיטיילד באַשרייַבונג פון לאָגראָטאַטע אין די מאַנואַל, עקסאַקיוטינג די "מענטש לאָגראָטאַטע” באַפֿעל

קאַלעקטינג לינוקס לאָגס - דזשאָורנאַלד

לאָגס כאַרוואַסטינג דינסט systemd-journald איז אַ טייל פון די יניטיאַליזאַטיאָן סיסטעם systemd. לינוקס קלאָץ טעקעס זענען סטאָרד אין "/var/log/journal/"אין אַ ספּעציעל פֿאָרמאַט און קענען זיין עפן מיט די הילף פון דזשאָורנקטל נוצן. רעקאָרד פֿאָרמאַט איז פּונקט די זעלבע ווי אין rsyslog.

באַפעל דזשאָורנקטל מיט קיין אַטריביוץ ווייַזן אַלע רעקאָרדס אָבער עס איז נישט פּאַסיק פֿאַר ביגער לאָגס. זאל ס נעמען אַ קוק אין עטלעכע אָפּציעס פון דעם נוצן.

• journalctl -b - ווייַזן אַלע רעקאָרדס זינט די לעצטע אָנהייב
• journalctl -S "2020-02-17 12:00" -U "2020-02-17 12:10" - ווייַזן רעקאָרד אין אַ זיכער צייט
• journalctl -u pptpd - ווייַזן רעקאָרדס פון אַ זיכער דינסט
• journalctl -k - ווייַזן קערן אַרטיקלען
• journalctl -p err - ווייַזן אַרטיקלען פון אַ זיכער בילכערקייַט, העכער בילכערקייַט אַרטיקלען אין דעם פאַל (קריט, פלינק, ימערג)
• journalctl -f - ווייַזן אַרטיקלען אין פאַקטיש צייט

פֿאַר בעסער בייגיקייט איר קענען פאַרבינדן די אָפּציעס. זאל ס ווייַזן אַלע ערראָרס פון די pptpd דינסט

journalctl -u pptpd -p err

אויב איר ספּעציפיצירן דעם דרך צו די עקסעקוטאַבלע טעקע ווי אַן אַטריביוט, די נוצן וועט ווייַזן אַלע אַרטיקלען געשיקט דורך דעם טעקע. זאל ס ווייַזן אַלע אַרטיקלען געשיקט דורך די טעקע "/usr/bin/sudo” זינט 04:15 אויף 18 פעברואר 2020. אין פאַקט, עס וועט ווייַזן אַלע קאַמאַנדז עקסאַקיוטאַד מיט העכער פּערמישאַנז.

journalctl -S "2020-02-18 04:15" /usr/bin/sudo

צו געפֿינען אויס ווי פיל דיסק פּלאַץ קלאָץ טעקעס נעמען אַרויף צו ויספירן די פאלגענדע באַפֿעל

journalctl --disk-usage

אין סדר צו באַגרענעצן די קלאָץ טעקע צו 1 גב, דורכפירן די פאלגענדע באַפֿעל

journalctl --vacuum-size=1G

עפן ביינערי טעקעס

איצט לאָזן אונדז נעמען אַ קוק אין עטלעכע ספּעציעל טעקעס אין די "/ var / log /" טעקע ווו אַלע לאָגין פרווון זענען סטאָרד. די טעקעס זענען ביינערי און קענען זיין געעפנט בלויז מיט ספּעציעל מגילה.

/var/log/wtmp כּולל אינפֿאָרמאַציע אויף מצליח לאָגין פרווון. ניצן די לעצטע נוצן צו עפֿענען עס.

/var/log/btmp - כּולל אַלע ניט אַנדערש לאָגין פרווון. עס קענען זיין עפן מיט לאַסטב מיט אַוואַנסירטע פּערמישאַנז. אַטריביוט -n דיפיינז די נומער פון שורות געוויזן פֿון די סוף פון דער טעקע.

/var/log/lastlog - כּולל די צייט פון די לעצטע לאָגין קאַמף פֿאַר יעדער חשבון רעקאָרד. עס קענען זיין עפֿענען מיט לאַסטאָג