Где хранятся журналы в Linux

Обновлено: 29.06.2024

Файлы журналов — это записи, которые Linux хранит для администраторов, чтобы отслеживать и отслеживать важные события, связанные с сервером, ядром, службами и приложениями, работающими на нем. В этом посте мы рассмотрим основные файлы журналов Linux, которые администраторы серверов должны отслеживать.

Поделиться на Facebook
Поделиться в Твиттере
Поделиться в LinkedIn
Отправить письмо

Что такое файлы журналов Linux

Файлы журналов — это набор записей, которые Linux ведет для администраторов, чтобы отслеживать важные события. Они содержат сообщения о сервере, включая ядро, службы и приложения, работающие на нем.

Linux предоставляет централизованное хранилище файлов журналов, которое может находиться в каталоге /var/log.

Файлы журналов, созданные в среде Linux, обычно можно разделить на четыре категории:

Журналы приложений
Журналы событий
Сервисные журналы
Системные журналы

Зачем отслеживать файлы журналов Linux

Управление журналом является неотъемлемой частью ответственности любого администратора сервера.

Отслеживая файлы журналов Linux, вы можете получить подробную информацию о производительности сервера, безопасности, сообщениях об ошибках и основных проблемах. Если вы хотите использовать упреждающий подход к управлению сервером, а не реактивный, регулярный анализ файла журнала обязателен на 100 %.

Короче говоря, файлы журналов позволяют предвидеть будущие проблемы до того, как они действительно возникнут.

Какие файлы журналов Linux отслеживать

Отслеживать и анализировать их все может быть сложной задачей.

Из-за огромного объема журналов иногда бывает сложно просто развернуть и найти нужный файл, содержащий нужную информацию.

Чтобы облегчить вам задачу, мы познакомим вас с некоторыми наиболее важными файлами журналов Linux, за которыми вы должны следить.

Примечание. Обратите внимание, что это не исчерпывающий список, а лишь часть наиболее важных файлов журналов. Чем больше вы сможете обработать, тем лучше для здоровья вашего сервера. Ниже перечислены минимальные требования, которые вы должны отслеживать в обязательном порядке.

/var/log/сообщения

Что здесь регистрируется?:

Этот файл журнала содержит общие журналы активности системы.
Он в основном используется для хранения информационных и некритических системных сообщений.
В системах на основе Debian каталог /var/log/syslog служит той же цели.

Как я могу использовать эти журналы?:

Здесь вы можете отслеживать ошибки загрузки, не связанные с ядром, ошибки службы, связанные с приложениями, и сообщения, регистрируемые при запуске системы.
Это первый файл журнала, который администраторы Linux должны проверить, если что-то пойдет не так.
Например, у вас возникли проблемы со звуковой картой. Чтобы проверить, не пошло ли что-то не так во время запуска системы, вы можете просмотреть сообщения, хранящиеся в этом файле журнала.

/var/log/auth.log

Что здесь регистрируется?

Здесь регистрируются все события, связанные с аутентификацией на серверах Debian и Ubuntu.
Если вы ищете информацию, связанную с механизмом авторизации пользователей, вы можете найти ее в этом файле журнала.

Как я могу использовать эти журналы?:

Подозреваете, что на вашем сервере могла быть брешь в системе безопасности? Заметили подозрительный файл javascript там, где его быть не должно? Если да, то найдите этот файл журнала как можно скорее!

Исследуйте неудачные попытки входа
Исследуйте атаки методом грубой силы и другие уязвимости, связанные с механизмом авторизации пользователей.

/var/log/secure

Что здесь регистрируется?

Системы на базе RedHat и CentOS используют этот файл журнала вместо /var/log/auth.log.

Он в основном используется для отслеживания использования систем авторизации.
В нем хранятся все сообщения, связанные с безопасностью, включая сообщения об ошибках аутентификации.
Он также отслеживает входы в систему sudo, входы в систему SSH и другие ошибки, зарегистрированные демоном системных служб безопасности.

Как я могу использовать эти журналы?:

Здесь регистрируются все события аутентификации пользователей.
Этот файл журнала может предоставить подробную информацию о несанкционированных или неудачных попытках входа в систему.
Может быть очень полезным для обнаружения возможных попыток взлома.
Он также хранит информацию об успешных входах в систему и отслеживает действия действительных пользователей.

/var/log/boot.log

Что здесь регистрируется?

Сценарий инициализации системы /etc/init.d/bootmisc.sh отправляет все сообщения о загрузке в этот файл журнала.
Это хранилище информации, связанной с загрузкой, и сообщений, зарегистрированных во время процесса запуска системы.

Как я могу использовать эти журналы?:

Вам следует проанализировать этот файл журнала, чтобы выявить проблемы, связанные с неправильным завершением работы, незапланированными перезагрузками или сбоями при загрузке.
Также может быть полезно для определения продолжительности простоя системы, вызванного непредвиденным завершением работы.

/var/log/dmesg

Что здесь регистрируется?

Этот файл журнала содержит сообщения кольцевого буфера ядра.
Здесь регистрируется информация, касающаяся аппаратных устройств и их драйверов.
Поскольку ядро обнаруживает физические аппаратные устройства, связанные с сервером, в процессе загрузки, оно фиксирует состояние устройства, аппаратные ошибки и другие общие сообщения.

Как я могу использовать эти журналы?:

Этот файл журнала в основном полезен для пользователей выделенных серверов.
Если определенное оборудование работает неправильно или не обнаруживается, вы можете использовать этот файл журнала для устранения неполадок.
Или вы можете приобрести у нас управляемый сервер, и мы будем отслеживать его для вас.

/var/log/kern.log

Что здесь регистрируется?

Это очень важный файл журнала, поскольку он содержит информацию, регистрируемую ядром.

Как я могу использовать эти журналы?:

Идеально подходит для устранения ошибок и предупреждений, связанных с ядром.
Журналы ядра могут быть полезны для устранения неполадок в специально созданном ядре.
Также может пригодиться при отладке оборудования и проблем с подключением.

/var/log/сбой

Что здесь регистрируется?

Этот файл содержит информацию о неудачных попытках входа в систему.

Как я могу использовать эти журналы?:

Этот файл журнала может быть полезен для выявления любых попыток взлома системы безопасности, связанных со взломом имени пользователя/пароля и атаками грубой силы.

/var/log/cron

Что здесь регистрируется?

В этот файл журнала записывается информация о заданиях cron.

Как я могу использовать эти журналы

Всякий раз, когда выполняется задание cron, в этот файл журнала записывается вся необходимая информация, включая успешное выполнение и сообщения об ошибках в случае сбоев.
Если у вас возникли проблемы с запланированным cron, проверьте этот файл журнала.

/var/log/yum.log

Что здесь регистрируется?

Он содержит информацию, которая регистрируется при установке нового пакета с помощью команды yum.

Как я могу использовать эти журналы?:

Отслеживание установки системных компонентов и пакетов программного обеспечения.
Проверьте зарегистрированные здесь сообщения, чтобы узнать, правильно ли был установлен пакет.
Помогает устранять неполадки, связанные с установкой программного обеспечения.

Предположим, ваш сервер ведет себя необычно, и вы подозреваете, что причиной этой проблемы является недавно установленный программный пакет. В таких случаях вы можете проверить этот файл журнала, чтобы узнать, какие пакеты были недавно установлены, и идентифицировать неисправную программу.

/var/log/maillog или /var/log/mail.log

Что здесь регистрируется?

Здесь хранятся все журналы, связанные с почтовым сервером.

Как я могу использовать эти журналы?

Найдите информацию о postfix, smtpd, MailScanner, SpamAssassain или любых других службах, связанных с электронной почтой, работающих на почтовом сервере.
Отслеживайте все электронные письма, которые были отправлены или получены за определенный период.
Исследуйте проблемы с доставкой почты.
Получить информацию о возможных попытках рассылки спама, заблокированных почтовым сервером.
Отследите источник входящего сообщения электронной почты, изучив этот файл журнала.

< бр />

Что здесь регистрируется?

Этот каталог содержит журналы, записанные сервером Apache.
Информация журнала сервера Apache хранится в двух разных файлах журнала — error_log и access_log.

Как я могу использовать эти журналы?:

/var/log/mysqld.log или /var/log/mysql.log

Что здесь регистрируется?

Как следует из названия, это файл журнала MySQL.
Все сообщения об отладке, ошибках и успехах, связанные с демоном [mysqld] и [mysqld_safe], регистрируются в этом файле.
RedHat, CentOS и Fedora хранят журналы MySQL в каталоге /var/log/mysqld.log, а Debian и Ubuntu хранят журналы в каталоге /var/log/mysql.log.

Как я могу использовать этот журнал?

Используйте этот журнал для выявления проблем при запуске, работе или остановке mysqld.
Получить информацию о клиентских подключениях к каталогу данных MySQL
Вы также можете настроить параметр long_query_time для регистрации информации о блокировках запросов и медленных запросах.

Заключительный вывод

Хотя отслеживание и анализ всех файлов журналов, созданных системой, может быть сложной задачей, вы можете использовать централизованный инструмент мониторинга журналов, чтобы упростить этот процесс.

Некоторые из наших клиентов используют Nagios Log Server для управления журналами своих серверов. Есть много вариантов с открытым исходным кодом, если это выходит за рамки бюджета. Излишне говорить, что отслеживать журналы Linux вручную сложно.

Поэтому, если вы хотите использовать по-настоящему упреждающий подход к управлению сервером, инвестируйте средства в платформу централизованного сбора и анализа журналов, которая позволяет вам просматривать данные журналов в режиме реального времени и настраивать оповещения, чтобы уведомлять вас о возникновении потенциальных угроз.< /p>

Журналы операционной системы предоставляют обширную диагностическую информацию о вашем компьютере, и Linux не является исключением. Все, от событий ядра до действий пользователя, регистрируется Linux, что позволяет вам видеть практически любое действие, выполняемое на ваших серверах. В этом разделе мы объясним, что такое журналы Linux, где их можно найти и как их интерпретировать.

Системные журналы Linux

В Linux есть специальный каталог для хранения журналов, который называется /var/log . Этот каталог содержит журналы самой ОС, служб и различных приложений, работающих в системе. Вот как этот каталог выглядит в типичной системе Ubuntu.

Некоторые из наиболее важных системных журналов Linux включают:

/var/log/syslog и /var/log/messages хранят все глобальные данные об активности системы, включая сообщения о запуске. Системы на основе Debian, такие как Ubuntu, хранят это в /var/log/syslog , а системы на основе Red Hat, такие как RHEL или CentOS, используют /var/log/messages .
/var/log/auth.log и /var/log/secure хранят все события, связанные с безопасностью, такие как вход в систему, действия пользователя root и выходные данные подключаемых модулей аутентификации (PAM). Ubuntu и Debian используют /var/log/auth.log , а Red Hat и CentOS используют /var/log/secure .
В файле /var/log/kern.log хранятся журналы событий ядра, ошибок и предупреждений, которые особенно полезны для устранения неполадок с пользовательскими ядрами.
/var/log/cron хранит информацию о запланированных задачах (заданиях cron). Используйте эти данные, чтобы убедиться, что ваши задания cron выполняются успешно.

Некоторые приложения также записывают файлы журналов в этот каталог. Например, веб-сервер Apache записывает журналы в каталог /var/log/apache2 (в Debian), а MySQL записывает журналы в каталог /var/log/mysql. Некоторые приложения также регистрируются через системный журнал, что мы объясним в следующем разделе.
[button url="syslog"]системный журнал[/button]

Что такое системный журнал?

Syslog – это стандарт для создания и передачи журналов. Слово «системный журнал» может относиться к любому из следующего.

Служба системного журнала, которая получает и обрабатывает сообщения системного журнала. Он прослушивает события, создавая сокет, расположенный в /dev/log, в который приложения могут записывать. Он может записывать сообщения в локальный файл или пересылать сообщения на удаленный сервер. Существуют различные реализации системного журнала, включая rsyslogd и syslog-ng.
Протокол системного журнала (RFC 5424) — транспортный протокол, определяющий способ передачи журналов по сети. Это также формат данных, определяющий структуру сообщений. По умолчанию он использует порт 514 для сообщений с открытым текстом и порт 6514 для зашифрованных сообщений.
Сообщение системного журнала, представляющее собой любой журнал, отформатированный в формате сообщения системного журнала. Сообщение системного журнала состоит из стандартизированного заголовка и сообщения, содержащего содержимое журнала.

Поскольку системный журнал может пересылать сообщения на удаленные серверы, он часто используется для пересылки системных журналов в решения для управления журналами, такие как SolarWinds® Loggly® и SolarWinds Papertrail™.

Формат и поля системного журнала

Сообщения системного журнала содержат стандартный заголовок с несколькими полями. К ним относятся отметка времени, имя приложения, сгенерировавшего событие, место в системе, откуда было отправлено сообщение, и его приоритет. Вы можете изменить этот формат в файле конфигурации вашей реализации системного журнала, но использование стандартного формата упрощает синтаксический анализ, анализ и маршрутизацию событий системного журнала.

Вот пример сообщения журнала, использующего формат по умолчанию. Это от демона sshd, который управляет удаленным входом в систему. Это сообщение описывает неудачную попытку входа в систему:

Вы также можете добавить дополнительные поля в сообщения системного журнала. Повторим последнее событие после добавления нескольких новых полей. Мы будем использовать следующий шаблон rsyslog, который добавляет приоритет ( ), версию протокола ( %protocol-version% ) и дату в формате RFC 3339 ( %timestamp. date-rfc3339% ):

При этом создается следующий журнал:

Ниже вы найдете описания некоторых наиболее часто используемых полей системного журнала при поиске или устранении неполадок.

Поле метки времени указывает время и дату, когда сообщение было сгенерировано системой, отправившей сообщение. Отметка времени в примере разбита следующим образом:

"2019-06-05" – это год, месяц и день.
«T» – обязательный элемент поля метки времени, разделяющий дату и время.
"22:14:15.003" – это 24-часовой формат времени, включая количество миллисекунд (003).
«Z» указывает время UTC. Вместо z в примере можно было бы указать смещение, например -08:00, которое означает, что время смещено от UTC на восемь часов.

Поле имени хоста ("server1" в приведенном выше примере) указывает имя хоста или системы, которая первоначально отправила сообщение.

Поле имени приложения (в примере это "sshd:auth") указывает имя приложения, отправившего сообщение.

Поле приоритета или сокращенно pri (" " в приведенном выше примере) указывает, насколько срочным или серьезным является событие. Это комбинация двух числовых полей: удобства и серьезности. Средство указывает тип процесса, создавшего событие, в диапазоне от 0 для сообщений ядра до 23 для локальных приложений. Серьезность находится в диапазоне от 0 до 7, где 0 указывает на экстренную ситуацию, а 7 – на отладочное событие.

Pri можно вывести двумя способами. Первый представляет собой одно число, prival, которое рассчитывается как значение поля средства, умноженное на восемь, затем результат добавляется к значению поля серьезности: (средство)(8) + (серьезность). Второй — pri-text, который будет выводиться в строковом формате «facility.severity». Последний формат зачастую проще для чтения и поиска, но занимает больше места для хранения.

Ведение журнала с помощью Systemd

Многие дистрибутивы Linux поставляются с systemd, который является менеджером процессов и служб. Systemd реализует собственную службу ведения журналов под названием journald, которая может заменить или дополнить syslog. Journald ведет журнал значительно иначе, чем systemd, поэтому для него есть отдельный раздел в Ultimate Guide to Logging. Вы можете узнать больше о ведении журнала через systemd в разделе «Ведение журнала Systemd».

Журналы Linux дают вам наглядную историю всего, что происходило в сердцевине операционной системы Linux. Поэтому, если что-то пойдет не так, они дают полезный обзор событий, чтобы помочь вам, администратору, найти виновных.

Файлы журналов Linux должно быть легко расшифровать, поскольку они хранятся в текстовом виде в каталоге и подкаталоге /var/log. Они охватывают самые разные вещи, такие как система, ядро, менеджеры пакетов, MySQL и многое другое. Но сейчас мы сосредоточимся на системных журналах.

Чтобы получить доступ к системному каталогу операционной системы Linux или UNIX, вам нужно нажать в команде cd.

Как проверить журналы Linux?

Вы можете просмотреть журналы Linux с помощью команды cd /var/log. Введите ls, чтобы открыть журналы в этом каталоге. Системный журнал — это один из основных журналов, на который стоит обратить внимание, поскольку он отслеживает практически все, кроме сообщений, связанных с авторизацией.

Вы также используете /var/log/syslog для тщательного изучения всего, что находится в системном журнале. Но выбор одной конкретной вещи займет некоторое время, потому что обычно это довольно большой файл. Нажав Shift+G, вы дойдете до конца, и вы поймете, что находитесь там, потому что увидите слово "КОНЕЦ".

Вы также можете проверить журналы с помощью dmesg. Это показывает кольцевой буфер ядра и печатает все после отправки вас в конец файла. Затем вы можете использовать команду dmesg | less для прокрутки всего, что он произвел. Если вы хотите просмотреть записи журнала, относящиеся к пользовательскому сервису, используйте dmesg –facility=user.

Наконец, суперудобная команда tail, позволяющая просматривать файлы журналов. Это так полезно, потому что просто отображает последний бит журналов. Часто именно там вы найдете источник трудностей. Используйте tail /var/log/syslog или tail -f /var/log/syslog. Tail внимательно следит за файлом журнала и отображает каждую запись в него, что позволяет вам проверять, что добавляется в системный журнал в режиме реального времени.

Для определенной группы строк (скажем, последних пяти) введите tail -f -n 5 /var/log/syslog, и вы сможете их увидеть. Используйте Ctrl+C, чтобы отключить команду хвоста.

Самые ценные проигрыватели журналов Linux

Большинство каталогов можно сгруппировать по четырем заголовкам:

Журналы приложений
Журналы событий
Сервисные журналы
Системные журналы

Проверка каждого журнала – это очень сложная задача. Вот почему разработчики полагаются на инструменты проверки данных журналов, такие как Retrace. Потому что они позволяют управлять APM и журналами прямо у вас под рукой. У вас есть большой выбор того, что вы хотите контролировать. Но нет никаких сомнений в том, что тщательное изучение следующего следует считать необходимым.

Все дистрибутивы Linux хранят файлы журналов для процессов загрузки, программ и других ключевых событий, происходящих в вашей системе. Эти файлы могут быть полезным ресурсом для устранения неполадок системы. Обычно файлы журналов Linux сохраняются в текстовом формате ASCII. В сегодняшнем руководстве мы расскажем вам о различных типах журналов Linux, о том, как их найти и прочитать.

Если вы какое-то время работали с дистрибутивом Linux, возможно, вы слышали термин Linux лог-файлы. Давайте посмотрим, какие файлы журналов существуют в Linux, где их найти и как их читать.

Что такое журнал Linux?

Файл журнала содержит информацию об активности конкретной службы или программы в виде простого текста с отметкой времени. Например, если вы работаете в системе на основе Debian, вы, несомненно, используете apt для управления пакетами. Существует журнал для apt, который содержит всю историю всех программ, которые были установлены, удалены, очищены и т. д. с помощью команды apt, с указанием времени, когда это произошло.

Обычно, когда система работает плавно и стабильно, нам даже не нужно на них смотреть. Файлы журнала Linux появляются, когда возникает проблема с системой, и вам нужно просмотреть файлы журнала, чтобы устранить ее. В другом случае файлы журналов удобны для системных администраторов. Им всегда нужно знать, что и когда происходит.

Независимо от того, какой дистрибутив Linux вы используете, файлы журналов находятся в каталоге /var/log/. В этой статье мы обсудим наиболее важные файлы журналов, о которых вам необходимо знать.

Важные файлы журналов Linux

1. Системные журналы

Системные журналы хранятся непосредственно компонентами операционной системы. Это включает в себя информацию об изменении устройства, информацию об изменении системы и в целом широкий спектр вещей.

2. Журналы событий

Журналы событий содержат сетевую информацию, а в некоторых случаях и информацию о приложениях. Информация о блокировках учетных записей, неудачных попытках ввода пароля включается в журналы событий.

3. Журналы приложений

Журналы приложений содержат журналы, созданные и сгенерированные определенными приложениями.

4. Журналы ядра

Журналы ядра – это журналы, сохраняемые непосредственно ядром. Они чрезвычайно полезны при устранении неполадок ядра.

Нахождение журналов Linux

Как мы упоминали ранее, независимо от дистрибутива файлы журналов всегда хранятся в каталоге /var/log в любой системе Linux. Поэтому, чтобы проверить файлы журналов, мы сначала переходим в этот каталог:

И посмотрите содержимое:

Каталог журналов

Как видите, существует множество лог-файлов о разных программах/службах. Какие журналы важны для конкретного пользователя, может сказать только этот пользователь, но мы собираемся рассказать вам о некоторых наиболее полезных файлах журналов.

Важные журналы

1. Системный журнал или сообщения

Этот журнал содержит общую информацию о любой системе, включая журнал данных обо всех общих действиях, ошибках и сетевой информации. Это файл журнала для решения любой простой проблемы.

В системах на основе RedHat он хранится в /var/log/messages.
В системе на основе Debian он хранится в /var/log/syslog.

системный журнал

2. auth.log или безопасный

Это журнал аутентификации. Он включает в себя все журналы попыток входа в систему, как успешных, так и неудачных.В журнал записывается как вход в systemd (если он есть в вашем дистрибутиве), так и любого диспетчера отображения, который у вас есть.

В системах на базе RedHat он хранится в /var/log/secure.
В системах на основе Debian он хранится в /var/log/auth.log.

файл auth.log

3. керн.лог

Это журнал ядра. Вероятно, это бесполезно для большинства пользователей, но это важный журнал. Он регистрирует всю активность ядра, включая взаимодействие с оборудованием, инициализацию оборудования при загрузке и системные вызовы.

Он находится в /var/log/kern.log во всех дистрибутивах.

файл kern.log

4. загрузочный.лог

Журнал загрузки содержит сообщения, зарегистрированные во время загрузки системы. Здесь регистрируются сообщения, передаваемые сценариями запуска. В основном, если возникают проблемы с незапланированным завершением работы или перезагрузкой, или какие-либо аномалии в процессах загрузки, журнал обращается к журналу, чтобы увидеть, что происходит.

5. журнал ошибок

Это интересно. Он содержит журналы неудачных попыток входа в систему. Это особенно полезно в целях безопасности, поскольку вход в систему — это первый шаг к выполнению каких-либо действий в системе. Атаки методом подбора входа можно легко обнаружить, используя временной интервал между последовательными входами в систему.

Он находится в /var/log/faillog во всех дистрибутивах.

6. appport.log (только в системах на базе Ubuntu)

Часто обнаруживалось, что когда приложение аварийно завершало работу, его журналы не велись. У него не было определенного файла журнала, и он не был записан в какой-либо другой журнал. Чтобы это исправить, в Ubuntu появился файл appport.log. Когда программа дает сбой, это записывается в файл apport.log. Узнайте больше об этом здесь.

Он находится в /var/log/apport.log в системах на основе Ubuntu.

файл appport.log

7. Журнал диспетчера пакетов

Это полезный журнал даже для обычных пользователей. Это запись любого менеджера пакетов, который использует ваша система или, в частности, пользователь (может быть несколько). Установка, удаление, очистка программ фиксируется в журнале.

Системы на базе Debian

Системы на основе Debian используют управление пакетами apt, журналы которого находятся в каталоге /var/log/apt. Обычно там присутствуют два лог-файла:

history.log: записывает историю управления пакетами, выполненную apt, в простом формате.

term.log: записывает точные выходные данные, отображаемые в Терминале во время использования команды apt в любой форме.

Системы Debian также используют управление DPKG для файлов DEB, поэтому для этого также есть журнал. Его можно найти в /var/log/dpkg.log.

Системы RedHat

Системы RedHat по умолчанию используют систему управления пакетами DNF. Установку, удаление и другие задачи, связанные с пакетами, можно найти в журнале dnf. Он находится в /var/log/dnf.log.

8. mysqld.log или mysql.log

Перечисленные здесь журналы больше ориентированы на основных пользователей. MySQL — это сервис, который часто используется пользователями. Они могут быть системными администраторами, сопровождающими веб-сайтов или просто использовать MySQL в личных целях. Будучи такой ценной службой, для нее должен быть выделен файл журнала. Здесь регистрируются все сообщения об успехах, сбоях или отладке.

В системах на базе RedHat он хранится в /var/log/mysqld.log.
В системах на основе Debian он хранится в /var/log/mysql.log.

Этот каталог содержит журналы сервера Apache в системе. Как правило, он состоит из двух файлов, -error_log и access_log, в которых хранится информация, указывающая только на имя файла.

mail.log

Ещё несколько лет назад интегрированные в систему и командную строку службы электронной почты широко использовались. Судя по названию, mail.log содержит журналы использования таких служб электронной почты.

Вы можете найти его в /var/log/mail.log.

Чтение журналов

1. Интерфейс командной строки

Теперь мы, наконец, можем перейти к важному моменту — чтению этих журналов. Существуют различные способы, которыми вы можете и которыми вам нужно будет читать журналы. Например, если вы хотите просто просмотреть конечную часть файла журнала (чтобы узнать о самой последней активности), вы можете использовать команду tail. Команда печатает только последние 10 строк файла.

Чтение журналов с помощью команды tail

С другой стороны, если вы хотите перемещаться по всему файлу и искать что-то, вы можете использовать печально известную команду less. Вы можете использовать клавиши «Вверх» и «Вниз» для навигации по файлу. Для поиска нажмите клавишу «/» и введите точный поисковый запрос. Искомый термин должен быть выделен. Пример:

Поиск файлов журналов с помощью команды less

2. Графический интерфейс

Существует несколько графических программ, помогающих пользователям читать файлы журнала в системе. Сегодня мы рассмотрим glogg.

glogg – это программа для просмотра журналов с простым интерфейсом. Официальный сайт описывает его как комбинацию команд less и grep. Вы можете открыть glogg, а затем открыть файл журнала с помощью кнопки в левом верхнем углу, чтобы открыть файл журнала.

Мы предлагаем альтернативный способ — запуск glogg из командной строки вместе с расположением файла журнала. Это упрощает открытие файла журнала. Команда выглядит так:

Пользовательский интерфейс

Журнал отображается в основном окне. Внизу есть окно поиска, в котором вы можете искать любой термин, который вы ищете. Справа также есть полоса частот, которая показывает, как часто искомый термин появляется в файле журнала.

интерфейс glogg

Установка

Его можно легко установить в системах на основе Debian и Ubuntu с помощью команды:

В системах на базе Fedora/CentOS:

Дополнительную помощь по установке можно найти здесь.

установка глогга

Дополнительная информация

Есть еще некоторая важная информация, которую вам следует знать о файлах журналов.

Ротация журналов

Файлы журналов регулярно «ротируются». Это означает, что новые версии файла журнала создаются регулярно, так как файлы журнала имеют определенные пределы хранения или временные ограничения. Если вы введете команду:

Вы можете увидеть, что несколько файлов имеют одинаковое имя, за исключением “.1” или “.2.gz” в конце. Это просто старые версии одного и того же файла. Условия ротации журналов можно настроить. Вы можете найти файлы конфигурации с помощью команды:

Файлы с разными именами являются соответствующими конфигурациями журналов. Один из таких файлов выглядит примерно так:

Файл журнала ротации DPKG

Это можно просто отредактировать, чтобы изменить конфигурации соответствующих файлов журналов.

rsyslog

rsyslog — это служба, которая в первую очередь отвечает за создание файлов журнала. Его файлы конфигурации доступны в /etc/rsyslog.conf и в каталоге /etc/rsyslog.d. Как и в случае ротации журналов, вы можете настроить эти файлы в соответствии со своими потребностями.

файл конфигурации rsyslog

Заключение

Журналы полезны почти во всех случаях, связанных с неисправностями аппаратного или программного обеспечения системы Linux. Чтение файлов журналов может быть поучительным и поможет вам лучше понять вашу систему. Мы надеемся, что эта статья помогла вам. Если да, не забудьте поделиться им с друзьями.

Читайте также: