Просмотр живого журнала Linux

Обновлено: 21.11.2024

Существует множество различных файлов журналов, предназначенных для разных целей. Пытаясь найти журнал о чем-либо, вы должны начать с определения наиболее подходящего файла. Ниже приведен список общих расположений файлов журналов.

Системные журналы

Системные журналы касаются именно этого — системы Ubuntu — в отличие от дополнительных приложений, добавленных пользователем. Эти журналы могут содержать информацию об авторизации, системных демонах и системных сообщениях.

Журнал авторизации

Отслеживает системы авторизации, такие как запрос пароля, команду sudo и удаленный вход в систему.

Журнал демона

Демоны – это программы, работающие в фоновом режиме, обычно без участия пользователя. Например, сервер отображения, сеансы SSH, службы печати, Bluetooth и т. д.

Журнал отладки

Предоставляет отладочную информацию из системы и приложений Ubuntu.

Журнал ядра

Журналы ядра Linux.

Системный журнал

Содержит дополнительную информацию о вашей системе. Если вы ничего не можете найти в других журналах, возможно, это здесь.

Журналы приложений

Некоторые приложения также создают журналы в /var/log . Ниже приведены некоторые примеры.

Журналы Apache

Расположение: /var/log/apache2/ (подкаталог)

Apache создает несколько файлов журналов в подкаталоге /var/log/apache2/. В файле access.log записываются все запросы к серверу на доступ к файлам. error.log записывает все ошибки, выдаваемые сервером.

Журналы сервера X11

Сервер X11 создает отдельный файл журнала для каждого из ваших дисплеев. Номера дисплеев начинаются с нуля, поэтому ваш первый дисплей (дисплей 0) будет записываться в Xorg.0.log . Следующий дисплей (дисплей 1) будет вести журнал в Xorg.1.log и т. д.

Журналы, не предназначенные для чтения человеком

Не все файлы журналов предназначены для чтения людьми. Некоторые из них были созданы для анализа приложениями. Ниже приведены некоторые из примеров.

Журнал неудачных попыток входа

Содержит информацию о сбоях входа в систему. Вы можете просмотреть его с помощью команды faillog.

Журнал последних входов

Содержит информацию о последних входах в систему. Вы можете просмотреть его с помощью команды lastlog.

Журнал записей входа

Содержит регистрационную информацию, используемую другими утилитами для определения того, кто вошел в систему. Чтобы просмотреть текущих пользователей, вошедших в систему, используйте команду who.

Это не исчерпывающий список!
Вы можете поискать в Интернете дополнительные места, относящиеся к тому, что вы пытаетесь отладить. Здесь также есть более длинный список.

3. Просмотр журналов с помощью средства просмотра системных журналов GNOME

Просмотр системного журнала GNOME предоставляет простой графический интерфейс для просмотра и мониторинга файлов журнала. Если вы используете Ubuntu 17.10 или выше, он будет называться Logs. В противном случае он будет называться «Системный журнал».

Интерфейс просмотра системного журнала

Просмотрщик журнала имеет простой интерфейс. На боковой панели слева отображается список открытых файлов журнала, а содержимое текущего выбранного файла отображается справа.

Просмотрщик журналов не только отображает, но и отслеживает изменения в файлах журналов. Жирный текст (как видно на снимке экрана выше) указывает на новые строки, которые были зарегистрированы после открытия файла. Когда журнал, который в данный момент не выбран, обновляется, его имя в списке файлов становится жирным (как показано auth.log на снимке экрана выше).

Нажав на значок шестеренки в правом верхнем углу окна, вы откроете меню, позволяющее изменить некоторые параметры отображения, а также открыть и закрыть файлы журнала.

Справа от шестеренки также есть значок увеличительного стекла, который позволяет выполнять поиск в текущем выбранном файле журнала.

Подробнее

Если вы хотите узнать больше о средстве просмотра системного журнала GNOME, вы можете посетить официальную документацию.

4. Просмотр и мониторинг журналов из командной строки

Также важно знать, как просматривать журналы в командной строке. Это особенно полезно, когда вы удаленно подключены к серверу и не имеете графического интерфейса.

Следующие команды будут полезны при работе с файлами журналов из командной строки.

Просмотр файлов

Самый простой способ просмотра файлов из командной строки — использование команды cat. Вы просто передаете имя файла, и он выводит все содержимое файла: cat file.txt .

Это может быть неудобно при работе с большими файлами (что не редкость для журналов!). Мы могли бы использовать редактор, хотя это может быть излишним только для просмотра файла. Здесь появляется команда less. Мы передаем ей имя файла (less file.txt), и она открывает файл в простом интерфейсе. Отсюда мы можем использовать клавиши со стрелками (или j/k, если вы знакомы с Vim) для перемещения по файлу, использовать / для поиска и нажать q для выхода.Есть еще несколько функций, все из которых описаны нажатием h, чтобы открыть справку.

Просмотр начала или конца файла

Мы также можем быстро просмотреть первые или последние n строк файла. Здесь пригодятся команды head и tail. Эти команды работают так же, как cat , хотя вы можете указать, сколько строк от начала/конца файла вы хотите просмотреть. Чтобы просмотреть первые 15 строк файла, мы запускаем head -n 15 file.txt, а чтобы просмотреть последние 15, запускаем tail -n 15 file.txt. Из-за того, что файлы журналов добавляются внизу, команда tail обычно более полезна.

Мониторинг файлов

Чтобы отслеживать файл журнала, вы можете передать флаг -f в tail . Он будет продолжать работать, печатая новые дополнения к файлу, пока вы его не остановите (Ctrl + C). Например: tail -f файл.txt .

Поиск файлов

Один из рассмотренных нами способов поиска файлов — открыть файл в меньшем размере и нажать / . Более быстрый способ сделать это — использовать команду grep. Мы указываем, что мы хотим искать, в двойных кавычках вместе с именем файла, и grep напечатает все строки, содержащие этот поисковый запрос в файле. Например, чтобы найти строки, содержащие «тест» в файле.txt, вы должны запустить команду grep «test» file.txt.

Если результат поиска grep слишком длинный, вы можете направить его в команду less , что позволит вам прокручивать его и выполнять поиск: grep "test" file.txt | меньше .

Редактирование файлов

Самый простой способ редактировать файлы из командной строки — использовать nano . nano — это простой редактор командной строки, в котором все самые полезные сочетания клавиш выведены прямо на экран. Чтобы запустить его, просто дайте ему имя файла ( nano file.txt ). Чтобы закрыть или сохранить файл, нажмите Ctrl + X. Редактор спросит вас, хотите ли вы сохранить изменения. Нажмите y для да или n для нет. Если вы выберете «да», он попросит вас указать имя файла для сохранения файла. Если вы редактируете существующий файл, имя файла уже будет там. Просто оставьте все как есть, и оно будет сохранено в соответствующий файл.

5. Заключение

Поздравляем, теперь у вас достаточно знаний о расположении файлов журналов, использовании средства просмотра системных журналов GNOME и основных командах командной строки, чтобы правильно отслеживать и устранять проблемы, возникающие в вашей системе.

ИТ-отделы большинства предприятий выполняют множество задач, как рутинных, так и редких. Общая цель всех ИТ-команд — поддерживать работу своего бизнеса с оптимальным использованием ИТ-ресурсов. Однако обеспечение высокой доступности бизнес-приложений и мониторинг работоспособности сети и инфраструктуры — непростая задача. ИТ-командам приходится контролировать различные терминалы и информационные панели, чтобы отслеживать многочисленные серверы, сетевое оборудование, пользовательские устройства, приложения и многое другое. Несмотря на то, что инструменты и процессы для мониторинга корпоративных ИТ-сред значительно изменились, некоторые методы и утилиты по-прежнему оказываются полезными при устранении основных неполадок. Одной из таких утилит является хвост журнала, который помогает отслеживать системные журналы. В этой статье мы обсудим, как следить за журналами в режиме реального времени и какие инструменты могут быть полезны для этой цели.

Традиционные команды Head и Tail

Большинство системных администраторов использовали команды «head» и «tail» на своих терминалах Linux. Команда head печатает первые 10 строк текстового файла, а команда tail — последние 10 строк текстового файла. При необходимости вы можете изменить количество печатаемых строк, используя аргумент -n. Например, команда «tail -n 15 example.txt» напечатает последние 15 строк текстового файла. Эти команды особенно полезны для системного администрирования и написания сценариев. Как и большинство файлов журнала и текстовых файлов, команды работают одинаково хорошо.

По хвосту журнала

Можно отслеживать новые добавления в текстовый файл с помощью оператора follow или параметра -f. Команда tail -f печатает последние 10 строк текстового файла или файла журнала, а затем ожидает новых дополнений к файлу, чтобы распечатать его в режиме реального времени. Это позволяет администраторам просматривать сообщение журнала сразу после его создания системой. Команда tail -f продолжает печатать сообщения, и вы должны остановить сеанс с помощью команды Ctrl + C. Поскольку журналы часто быстро увеличиваются, важно сосредоточиться только на наиболее важных сообщениях журнала, поэтому системные администраторы также используют команду grep вместе с командой tail -f для фильтрации сообщений журнала.

Проблемы с мониторингом журнала в реальном времени

Как упоминалось выше, команда tail -f, обычно называемая live tail, помогает отслеживать журналы в режиме реального времени. Раньше администраторы напрямую контролировали локальный компьютер или подключались по ssh к некоторым удаленным серверам для доступа к своим журналам. Однако современные ИТ-среды очень сложны и содержат множество физических и виртуальных серверов и облачных ресурсов. В такой среде невозможно одновременно отслеживать отдельные хвосты журналов на разных терминалах.

Как упростить мониторинг журнала в реальном времени

Чтобы решить указанную выше проблему, организации полагаются на централизованное управление журналами. Он включает в себя агрегирование журналов из разных источников и преобразование их в общий формат для мониторинга в одном окне. Облачные инструменты управления журналами и поставщики ведения журналов как услуги (LaaS) помогают пользователям собирать большой объем журналов, анализировать их по разным полям, а также фильтровать, искать, отслеживать и визуализировать их для анализа. С помощью этих инструментов они также могут настраивать оповещения о критических событиях, чтобы ускорить реагирование.

Общие инструменты для отслеживания журналов

Elastic Stack или ELK-Stack – это распространенное решение с открытым исходным кодом, состоящее из таких инструментов, как Elasticsearch, Logstash и Kibana. Elasticsearch является ядром решения и предлагает многопоточные узлы для поиска журналов, Logstash — агрегатор журналов, а Kibana помогает визуализировать сообщения журналов. Эти инструменты помогают организациям управлять большим объемом журналов и анализировать их. С помощью этих инструментов команды также могут отслеживать свои журналы в режиме реального времени. Эти инструменты с открытым исходным кодом предлагают организациям высокий уровень гибкости для создания системы мониторинга на основе их требований. Однако иногда организациям приходится выходить за рамки этих инструментов для достижения оптимальной производительности. Например, во многих случаях им необходимо установить очередь сообщений для сохранения журнала. Выбор между созданием самостоятельной установки или использованием облака для установки стека ELK — еще одно сложное решение, на которое нет единого ответа. Прежде чем выбрать Elastic Stack для мониторинга журналов, организациям следует рассмотреть эти и несколько других проблем с конфигурацией.

Однако, как обсуждалось ранее, организации также могут выбирать коммерческие облачные решения для управления журналами, которые предлагают более простую конфигурацию, более высокую масштабируемость и более низкую совокупную стоимость владения. Такие инструменты, как SolarWinds® Loggly®, LogDNA, Sumo Logic и Splunk, являются одними из самых популярных средств просмотра и анализа журналов на рынке. Однако, если вам нужен простой и мощный инструмент для отслеживания журналов, мы рекомендуем SolarWinds Papertrail™.

Путеводитель

Заключение

Сопоставляя журналы из нескольких источников, команды могут лучше понять свою ИТ-среду, быстрее выявить основную причину проблем и найти закономерности, которые помогут предсказать будущие события. Такие инструменты, как Papertrail, созданы для упрощения ведения журналов и мониторинга в режиме реального времени в производственных средах.

Когда вы сталкиваетесь с проблемами на рабочем столе Linux, сервере или любом приложении, вы сначала просматриваете соответствующие файлы журналов. Файлы журнала обычно представляют собой поток текста и сообщений от приложений с прикрепленной к нему отметкой времени. Это поможет вам сузить круг конкретных случаев и поможет найти причину любой проблемы. Это также может помочь получить помощь из Интернета.

Как правило, все файлы журналов находятся в /var/log. Этот каталог содержит файлы журналов с расширением .log для определенных приложений, служб, а также содержит отдельные другие каталоги, содержащие их файлы журналов.

лог-файлы в var-log

Итак, если вы хотите отслеживать группу файлов журналов или конкретный файл, вот несколько способов, как вы можете это сделать.

Отслеживание файлов журнала в режиме реального времени — Linux

Использование команды хвоста

Использование команды tail — это самый простой способ отслеживания файла журнала в режиме реального времени. Особенно, если вы находитесь на сервере только с терминалом, без графического интерфейса. Это очень полезно.

Основной синтаксис

Использование

Мониторинг нескольких файлов журнала через хвост

Используйте ключ -f, чтобы следить за файлом журнала, который обновляется в режиме реального времени. Например, если вы хотите следить за системным журналом, вы можете использовать следующую команду.

Вы можете отслеживать несколько файлов журналов с помощью одной команды, используя –

Помните, что приведенные выше команды требуют прав администратора.

Использование lnav (навигатор файлов журнала)

lnav — это удобная утилита, которую можно использовать для более структурированного мониторинга файлов журналов с помощью цветных сообщений. Это не установлено по умолчанию в системах Linux. Вы можете установить его с помощью следующей команды:

Преимущество lnav в том, что если вы не хотите его устанавливать, вы можете просто загрузить предварительно скомпилированный исполняемый файл и запустить его где угодно. Даже с флешки. Не требует настройки, плюс загружается с функциями. Используя lnav, вы можете запрашивать файлы журнала через SQL среди других интересных функций, о которых вы можете узнать на официальном сайте.

После установки вы можете просто запустить lnav из терминала с правами администратора, и он по умолчанию покажет все журналы из /var/log и начнет мониторинг в режиме реального времени.

Примечание о журнале systemd

Все современные дистрибутивы Linux в основном используют systemd. Systemd предоставляет базовую структуру и компоненты, которые в целом запускают операционную систему Linux. Systemd предоставляет службы журналов через journalctl, который помогает управлять журналами всех служб systemd. Вы также можете отслеживать соответствующие службы и журналы systemd в режиме реального времени, используя следующую команду.

Вот некоторые специальные команды journalctl, которые можно использовать в нескольких случаях. Вы можете комбинировать их с ключом -f выше, чтобы начать мониторинг в режиме реального времени.

  • Для использования экстренных системных сообщений
  • Показать ошибки с пояснениями
  • Используйте элементы управления временем для фильтрации.

Если вы хотите узнать больше и узнать подробности о journalctl, я написал руководство здесь.

Заключительные примечания

Я надеюсь, что эти команды и приемы помогут вам выяснить основную причину ваших проблем/ошибок на вашем рабочем столе или серверах. Для получения более подробной информации вы всегда можете обратиться к справочным страницам и поиграть с различными переключателями. Дайте мне знать, используя поле для комментариев ниже, если у вас есть какие-либо комментарии или что вы думаете об этой статье.

Мы публикуем последние новости о технологиях, программном обеспечении и многое другое. Оставайтесь на связи через Telegram, Twitter, YouTube и Facebook и никогда не пропустите обновления!

Все системы Linux создают и хранят файлы журналов с информацией о процессах загрузки, приложениях и других событиях. Эти файлы могут быть полезным ресурсом для устранения неполадок системы.

Большинство файлов журналов Linux хранятся в простом текстовом файле ASCII и находятся в каталоге и подкаталоге /var/log. Журналы создаются журналом системного демона Linux, syslogd или rsyslogd.

В этом учебном пособии вы узнаете, как найти и прочитать файлы журнала Linux и настроить демон системного ведения журнала.

  • Доступ к Linux
  • Учетная запись пользователя с привилегиями пользователя root

Как просматривать журналы Linux

<р>1. Сначала откройте терминал Linux от имени пользователя root. Это активирует привилегии root.

<р>2. Используйте следующую команду для просмотра файлов журнала:

<р>3. Чтобы просмотреть журналы, введите следующую команду:

Эта команда отображает все файлы журналов Linux, такие как kern.log и boot.log. Эти файлы содержат необходимую информацию для правильной работы операционной системы.

Доступ к файлам журнала осуществляется с использованием привилегий root. По определению root — это учетная запись по умолчанию, которая имеет доступ ко всем файлам Linux.

Используйте следующий пример команды строки для доступа к соответствующему файлу:

Эта команда отображает временную шкалу всей информации, связанной с этой операцией.

Обратите внимание, что файлы журналов хранятся в виде обычного текста, поэтому их можно просматривать с помощью следующих стандартных команд:

zcat — отображает все содержимое logfile.gz

zmore — просмотр файла на страницах без распаковки файлов

zgrep — Поиск внутри сжатого файла

grep — поиск всех вхождений поискового запроса в файле или фильтрация файла журнала

tail — вывести несколько последних строк файлов

head — Просмотр самого начала текстовых файлов

Примечание. Ознакомьтесь с нашим подробным руководством по grep, чтобы узнать, как его использовать с примерами.

Важные системные журналы Linux

Журналы могут многое рассказать о работе системы. Хорошее понимание каждого типа файла поможет отличить соответствующие журналы.

Большинство каталогов можно сгруппировать в одну из четырех категорий:

  1. Системные журналы
  2. Журналы приложений
  3. Сервисные журналы

Многие из этих журналов могут находиться в подкаталоге var/log.

Системные журналы

Демон ведения системного журнала

Журнал демона – это программа, работающая в фоновом режиме и необходимая для системных операций. Эти журналы относятся к отдельной категории журналов и считаются основой операций ведения журналов для любой системы.

Путь к конфигурации демона входа в систему: /etc/syslog.conf .

Каждый файл состоит из селектора и поля ввода действия. Демон syslogd также может пересылать сообщения журнала. Это может быть полезно для целей отладки.

Журналы приложений

В журналах приложений хранится информация, относящаяся к любому выполняемому приложению.Это могут быть сообщения об ошибках, признаки компрометации системы и строка идентификации браузера.

Журналы, не предназначенные для чтения человеком

Не все журналы имеют удобочитаемый формат. Некоторые предназначены только для чтения системными приложениями. Такие файлы часто связаны с информацией для входа в систему. К ним относятся журналы неудачных попыток входа, журналы последних входов и записи входа.

Существуют инструменты и программное обеспечение для чтения файлов журналов Linux. Они не нужны для чтения файлов, так как большинство из них можно прочитать непосредственно из терминала Linux.

Дополнительные графические интерфейсы для просмотра файлов журналов Linux

System Log Viewer – это графический интерфейс, который можно использовать для мониторинга системных журналов.

Интерфейс предоставляет несколько функций для управления журналами, включая отображение статистики журналов. Это удобный графический интерфейс для мониторинга журналов.

К полезным функциям относятся:

  • Просмотр журналов в реальном времени
  • Количество строк в журнале
  • Размер журнала
  • Даты последних журналов
  • В журналы внесены изменения.
  • Фильтры
  • Сочетания клавиш

В качестве альтернативы можно использовать Xlogmaster, который может отслеживать значительное количество файлов журналов. Он имеет три разных режима:

  • Режим выполнения: запускает указанную программу и получает стандартный вывод
  • Режим Cat: файлы Cats с заданными интервалами
  • Конечный режим: файлы журналов проверяются через равные промежутки времени.

Xlogmaster полезен для повышения безопасности. Он переводит все данные для выделения и скрытия строк и отображает эту информацию для выполнения запрошенных пользователем действий.

Как настроить файлы журналов в Ubuntu и CentOS

В этом разделе объясняются различные механизмы настройки файлов журналов. Начнем с примера CentOS.

Чтобы просмотреть пользователей, которые в данный момент вошли на сервер Linux, введите команду who от имени пользователя root:

Здесь также отображается история входов пользователей. Чтобы просмотреть историю входов системного администратора, введите следующую команду:

Чтобы просмотреть информацию о последнем входе в систему, введите:

Выполнить ротацию журналов

Файлы журналов, в конце которых добавлены нули, являются файлами с ротацией. Это означает, что имена файлов журналов были автоматически изменены в системе.

Целью ротации журналов является сжатие устаревших журналов, которые занимают место. Ротация журнала может быть выполнена с помощью команды logrotate. Эта команда изменяет, сжимает и отправляет системные журналы по почте.

logrotate обрабатывает системы, которые создают значительное количество файлов журналов. Команда используется планировщиком cron и считывает файл конфигурации logrotate /etc/logrotate.conf. Он также используется для чтения файлов в каталоге конфигурации logrotate.

Чтобы включить дополнительные функции для logrotate, начните с ввода следующей команды:

Он сжимает и изменяет размер нужного файла журнала.

Команды выполняют следующие действия:

missingok — указывает logrotate не выводить ошибку, если файл журнала отсутствует

notifempty — файл журнала не ротируется, если он пуст. Это уменьшает размер файла журнала с помощью gzip

размер — гарантирует, что файл журнала не превышает указанного размера, и вращает его в противном случае

daily — файлы журналов обновляются по ежедневному расписанию. Это также можно делать по еженедельному или ежемесячному расписанию

create — создает файл журнала, в котором владельцем и группой являются привилегированные пользователи

Полное понимание того, как просматривать и читать журналы Linux, необходимо для устранения неполадок в системе Linux.

Читайте также: