檢查linux發包日誌

『壹』 如何查看linux的系統log日誌

日誌文件詳細地記錄了系統每天發生的各種各樣的事件。用戶可以通過日誌文件檢查錯誤產生的原因，或者在受到攻擊和黑客入侵時追蹤攻擊者的蹤跡。日誌的兩個比較重要的作用是：審核和監測。 Linux系統的日誌主要分為兩種類型： 1．進程所屬日誌 由用戶進程或其他系統服務進程自行生成的日誌，比如伺服器上的access_log與error_log日誌文件。 2．syslog消息 系統syslog記錄的日誌，任何希望記錄日誌的系統進程或者用戶進程都可以給調用syslog來記錄日誌。 日誌系統可以劃分為三個子系統： 1． 連接時間日誌--由多個程序執行，把紀錄寫入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系統管理員能夠跟蹤誰在何時登錄到系統。 2． 進程統計--由系統內核執行。當一個進程終止時，為每個進程往進程統計文件（pacct或acct）中寫一個紀錄。進程統計的目的是為系統中的基本服務提供命令使用統計。 3． 錯誤日誌--由syslogd（8）執行。各種系統守護進程、用戶程序和內核通過syslog（3）向文件/var/log/messages報告值得注意的事件。 2．察看日誌文件 Linux系統所有的日誌文件都在/var/log下，且必須有root許可權才能察看。 日誌文件其實是純文本的文件，每一行就是一個消息。察看方式有很多。 1． cat命令。日誌文件總是很大的，因為從第一次啟動Linux開始，消息都累積在日誌文件中。如果這個文件不只一頁，那麼就會因為顯示滾動得太快看不清文件的內容。 2． 文本編輯器。最好也不要用文本編輯器打開日誌文件，這是因為一方面很耗費內存，另一方面不允許隨意改動日誌文件。 3．用more或less那樣的分頁顯示程序。 4．用grep查找特定的消息。 每一行表示一個消息，而且都由四個域的固定格式組成： n 時間標簽（timestamp），表示消息發出的日期和時間 n 主機名（hostname）（在我們的例子中主機名為escher），表示生成消息的計算機的名字。如果只有一台計算機，主機名就可能沒有必要了。但是，如果在網路環境中使用syslog，那麼就可能要把不同主機的消息發送到一台伺服器上集中處理。 n 生成消息的子系統的名字。可以是"kernel"，表示消息來自內核，或者是進程的名字，表示發出消息的程序的名字。在方括弧里的是進程的PID。 n 消息（message），剩下的部分就是消息的內容。 舉例： 在[root@localhost root]# 提示符下輸入：tail /var/log/messages Jan 05 21:55:51 localhost last message repeated 3 times Jan 05 21:55:51 localhost kernel: [drm] AGP 0.99 on Intel i810 @ 0xf0000000 128M B Jan 05 21:55:51 localhost kernel: [drm] Initialized i830 1.3.2 20021108 on minor 0 Jan 05 21:55:51 localhost kernel: mtrr: base(0xf0000000) is not aligned on a siz e(0x12c000) boundary Jan 05 21:56:35 localhost 1月 28 21:56:35 gdm(pam_unix)[4079]: session opened f or user root by (uid=0) Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 正在啟動（版本 2. 2.0），pid 4162 用戶"root" Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re adonly:/etc/gconf/gconf.xml.mandatory"指向位於 0 的只讀配置源 Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re adwrite:/root/.gconf"指向位於 1 的可寫入配置源 Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re adonly:/etc/gconf/gconf.xml.defaults"指向位於 2 的只讀配置源 Jan 05 21:58:20 localhost kernel: MSDOS FS: IO charset cp936 值得注意的是，與連接時間日誌不同，進程統計子系統默認不激活，它必須啟動。在Linux 系統中啟動進程統計使用accton命令，必須用root身份來運行。accton命令的形式為：accton file，file必須事先存在。先使用touch命令創建pacct文件：touch /var/log/pacct，然後運行accton：accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令監測系統中任何時候執行的命令。若要關閉統計，可以使用不帶任何 參數的accton命令。 3．日誌系統工作原理及配置 3.1 syslog 它同closelog, openlog共同給system logger發送消息。 Linux內核由很多子系統組成，包括網路、文件訪問、內存管理等。子系統需要給用戶傳送一些消息，這些消息內容包括消息的來源及其重要性等。所有的子系統都要把消息送到一個可以維護的公用消息區。於是，就有了一個叫Syslog的程序。 這個程序負責接收消息（比如：系統核心和許多系統程序產生的錯誤信息、警告信息和其他信息，每個信息都包括重要級），並把消息分發到合適的地方。通常情況 下，所有的消息都被記錄到特定的文件——日誌文件中（通常是/var/adm或/var/log目錄下的messages文件），特別重要的消息也會在用 戶終端窗口上顯示出來。 syslog工具有兩個重要文件：syslogd和syslog.Conf 它能接受訪問系統的日誌信息並且根據 "/etc/syslog.conf" 配置文件中的指令處理這些信息。守護進程和內核提供了訪問系統的日誌信息。因此，任何希望生成日誌信息的程序都可以向 syslog 介面呼叫生成該信息。 3.2 syslogd守護進程 就象其它復雜的操作系統那樣，Linux也是由很多不同的子系統組成的。有些叫做daemon的程序一直在後台運行（daemon：守護神之意。也就是 說，他們"默默無聞"，不需要和用戶交互），處理一些象列印、發送郵件、建立Internet連接，等等日常工作。每一個子系統發出日誌消息的時候都會給 消息指定一個類型。一個消息分成兩個部分："設備（facility）"和"級別(level)"。"設備"標識發出消息的子系統，可以把同一類型的消息組合在一起，"級別"表示消息的重要性，其范圍從debug（最不重要）到emerg（最重要），facility和level組合起來稱為priority。（詳細解釋參照5.3） /usr/include/sys/syslog.h中對此有相關的定義。 用戶看不到daemon程序，因為它們沒有窗口和用戶界面。但是，這些程序有時候也要給用戶傳遞一些信息。為了實現這個目的，就需要一個特殊的機制。syslogd就是daemon的一個很好的例子，它在後台運行並且把消息從日誌區轉移到日誌文件中去。 函數介面 #include void openlog( char * , int , int ) 其中，可以是以下值的OR組合： LOG_CONS : 如果消息無法送到syslogd，直接輸出到系統console。 LOG_NDELAY : 立即打開到syslogd的連接，默認連接是在第一次寫入訊息時才打開的。 LOG_PERROR : 將消息也同時送到stderr 上 LOG_PID : 將PID記錄到每個消息中 void syslog( int , char * ) 其中，是facility和level的OR組合 void closelog( void ) 一般只需要用syslog()函數，其他函數可以不用。 3.3 syslog.conf 這是一個非常重要的文件。位於"/etc/"目錄下。通知 syslogd 如何根據設備和信息重要級別來報告信息。 該文件使用下面的形式： facility.level action syslog.conf 的第一列facility.level用來指定日誌功能和日誌級別，中間用.隔開，可以使用*來匹配 所有的日誌功能和日誌級別。第二列action是消息的分發目標。 空白行和以#開頭的行是注釋，可以忽略。 Facility.level 欄位也被稱做選擇域（seletor）。 n facility 指定 syslog 功能，主要包括以下這些： auth 由 pam_pwdb 報告的認證活動。 authpriv 包括特權信息如用戶名在內的認證活動 cron 與 cron 和 at 有關的信息。 daemon 與 inetd 守護進程有關的信息。 kern 內核信息，首先通過 klogd 傳遞。 lpr 與列印服務有關的信息。 mail 與電子郵件有關的信息 mark syslog 內部功能用於生成時間戳 news 來自新聞伺服器的信息 syslog 由 syslog 生成的信息 user 由用戶程序生成的信息 uucp 由 uucp 生成的信息 local0----local7 與自定義程序使用，例如使用 local5 做為 ssh 功能 * 通配符代表除了 mark 以外的所有功能 level 級別，決定訊息的重要性。 與每個功能對應的優先順序是按一定順序排列的，emerg 是最高級，其次是 alert，依次類推。預設時，在 /etc/syslog.conf 記錄中指定的級別為該級別和更高級別。如果希望使用確定的級別可以使用兩個運算符號！(不等)和=。 例如：user.=info 表示告知 syslog 接受所有在 info 級別上的 user 功能信息。 n 以下的等級重要性逐次遞減: emerg 該系統不可用 alert 需要立即被修改的條件 crit 阻止某些工具或子系統功能實現的錯誤條件 err 阻止工具或某些子系統部分功能實現的錯誤條件 warning 預警信息 notice 具有重要性的普通條件 info 提供信息的消息 debug 不包含函數條件或問題的其他信息 none 沒有重要級，通常用於排錯 * 所有級別，除了none n action 欄位為動作域，所表示的活動具有許多靈活性，特別是，可以使用名稱管道的作用是可以使 syslogd 生成後處理信息。 syslog 主要支持以下活動： file 將消息追加到指定的文件尾 terminal 或 print 完全的串列或並行設備標志符 @host 遠程的日誌伺服器 username 將消息寫到指定的用戶 named pipe 指定使用 mkfifo 命令來創建的 FIFO 文件的絕對路徑。 * 將消息寫到所有的用戶 選擇域指明消息的類型和優先順序；動作域指明syslogd接收到一個與選擇標准相匹配的消息時所執行的動作。每個選項是由設備和優先順序組成。當指明一個優先順序時，syslogd將紀錄一個擁有相同或更高優先順序的消息。比如如果指明"crit"，則所有標為crit、alert和emerg的消息將被紀錄。每行的行動域指明當選擇域選擇了一個給定消息後應該把他發送到什麼地方。 以下是一個實際站點的配置（syslog.conf）文件： # Store critical stuff in critical # *.=crit;kern.none /var/adm/critical 這個將把所有信息以優先權的crit保存在/var/adm/critical文件中，除了一些內核信息 # Kernel messages are first, stored in the kernel # file, critical messages and higher ones also go # to another host and to the console # kern.* /var/adm/kernel kern.crit @finlandia kern.crit /dev/console kern.info;kern.!err /var/adm/kernel-info 第一條代碼指引一些內核設備訪問文件/var/adm/kernel的信息。 第二條代碼直接引導所有擁有crit和更高優先權的內核信息訪問遠程主機。如果它們也存儲在遠程主機上，仍舊可以試著找到毀壞的原因。 第四行說明syslogd 保存了所有擁有info 到warning優先順序的內核信息在/var/adm/kernel-info文件夾下。所有err和更高優先順序的被排除在外。 # The tcp wrapper loggs with mail.info, we display # all the connections on tty12 # mail.=info /dev/tty12 這個引導所有使用mail.info (in source LOG_MAIL LOG_INFO)的信息到/dev/tty12下，第12 個控制台。例如tcpwrapper tcpd (8)載預設時使用這個 # Store all mail concerning stuff in a file mail.*;mail.!=info /var/adm/mail 模式匹配了所有具有mail功能的信息，除了擁有info優先順序的。他們將被保存在文件/var/adm/mail中 # Log all mail.info and news.info messages to info # mail,news.=info /var/adm/info 提取所有具有mail.info 或news.info 功能優先順序的信息存儲在文件/var/adm/info中 # Log info and notice messages to messages file # *.=info;*.=notice;\ mail.none /var/log/messages 使所有syslogd日誌中具有info 或notice功能的信息存儲在文件/var/log/messages中，除了所有mail功能的信息 # Log info messages to messages file # *.=info;\ mail,news.none /var/log/messages 這個聲明使syslogd日誌中所有具有info優先權的信息存儲在/var/log/messages文件中。但是一些有mail 或news功能的信息不能被存儲。 # Emergency messages will be displayed using wall # *.=emerg * 這行代碼告訴syslogd寫所有緊急信息到所有當前登陸用戶日誌中。這個將被實現 # Messages of the priority alert will be directed # to the operator # *.alert root,joey *.* @finlandia 這個代碼指引所有具有alert 或更高級許可權的信息到終端操作。 第二行代碼引導所有信息到叫做finlandia的遠程主機。這個代碼非常有用，特別是在所有syslog信息將被保存到一台機器上的群集計算機。 3.4 klogd 守護進程 klog是一個從UNIX內核接受消息的設備 klogd 守護進程獲得並記錄 Linux 內核信息。通常，syslogd 會記錄 klogd 傳來的所有信息。也就是說，klogd會讀取內核信息，並轉發到syslogd進程。然而，如果調用帶有 -f filename 變數的 klogd 時，klogd 就在 filename 中記錄所有信息，而不是傳給 syslogd。當指定另外一個文件進行日誌記錄時，klogd 就向該文件中寫入所有級別或優先權。Klogd 中沒有和 /etc/syslog.conf 類似的配置文件。使用 klogd 而避免使用 syslogd 的好處在於可以查找大量錯誤。 總結 其中，箭頭代表發送消息給目標進程或者將信息寫入目標文件。 圖1 Linux日誌系統 日誌管理及日誌保護 logrotate程序用來幫助用戶管理日誌文件，它以自己的守護進程工作。logrotate周期性地旋轉日誌文件，可以周期性地把每個日誌文件重命名 成一個備份名字，然後讓它的守護進程開始使用一個日誌文件的新的拷貝。在/var/log/下產生如maillog、maillog.1、 maillog.2、boot.log.1、boot.log.2之類的文件。它由一個配置文件驅動，該文件是 /etc/logroatate.conf。 以下是logroatate.conf文件例子： # see "man logrotate" for details # rotate log files weekly weekly #以7天為一個周期 # keep 4 weeks worth of backlogs rotate 4 #每隔4周備份日誌文件 # send errors to root errors root #發生錯誤向root報告 # create new (empty) log files after rotating old ones create #轉完舊的日誌文件就創建新的日誌文件 # uncomment this if you want your log files compressed #compress #指定是否壓縮日誌文件 # RPM packages drop log rotation information into this directory include /etc/logrotate.d # no packages own lastlog or wtmp -- we'll rotate them here /var/log/wtmp { monthly create 0664 root utmp rotate 1 } # system-specific logs may be configured here 在網路應用中，有一種保護日誌的方式，在網路中設定一台秘密的syslog主機，把這台主機的網卡設為混雜模式，用來監聽子網內所有的syslog包，這 樣把所有需要傳送日誌的主機配置為向一台不存在的主機發送日誌即可。這樣即使黑客攻陷了目標主機，也無法通過syslog.conf文件找到備份日誌的主 機，那隻是一個不存在的主機。實際操作中還可以輔以交換機的配置，以確保syslog包可以被備份日誌主機上的syslog進程接受到。比如把 syslog.conf中的傳送日誌主機設為 @192.168.0.13，但實際網路中不存在這個日誌主機，實際可能是192.168.0.250或者其他主機正在接受syslog包。

『貳』 linux中怎樣查看日誌

方法/步驟

• 先必須了解兩個最基本的命令:

  tail -n 10 test.log 查詢日誌尾部最後10行的日誌;

  tail -n +10 test.log 查詢10行之後的所有日誌;

  head -n 10 test.log 查詢日誌文件中的頭10行日誌;

  head -n -10 test.log 查詢日誌文件除了最後10行的其他所有日誌;

• 場景1: 按行號查看---過濾出關鍵字附近的日誌

  因為通常時候我們用grep拿到的日誌很少,我們需要查看附近的日誌.

  我是這樣做的,首先: cat -n test.log |grep "地形" 得到關鍵日誌的行號

• <3>得到"地形"關鍵字所在的行號是102行. 此時如果我想查看這個關鍵字前10行和後10行的日誌:

  cat -n test.log |tail -n +92|head -n 20

  tail -n +92表示查詢92行之後的日誌

  head -n 20 則表示在前面的查詢結果里再查前20條記錄

• 場景2:那麼按日期怎麼查呢? 通常我們非常需要查找指定時間端的日誌

  sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p' test.log

  特別說明:上面的兩個日期必須是日誌中列印出來的日誌,否則無效.

• 關於日期列印,可以先 grep '2014-12-17 16:17:20' test.log 來確定日誌中是否有該時間點,以確保第4步可以拿到日誌

  這個根據時間段查詢日誌是非常有用的命令.

• 如果我們查找的日誌很多,列印在屏幕上不方便查看, 有兩個方法:

  (1)使用more和less命令, 如: cat -n test.log |grep "地形" |more 這樣就分頁列印了,通過點擊空格鍵翻頁

  (2)使用 >xxx.txt 將其保存到文件中,到時可以拉下這個文件分析.如:

  cat -n test.log |grep "地形" >xxx.txt

• 這幾個日誌查看方法應該可以滿足日常需求了.

『叄』 鎬庢牱鏌ョ湅Linux鏃ュ織錛

濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇楋紝濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇

浠ヤ笅鏄鍏充簬鈥

濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇楀備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇椼嬬殑瑙ｇ瓟銆

1.鐩鎬俊緇忓父緙栫▼鐨勬湅鍙嬮兘鐭ラ亾錛屽綋紼嬪簭鍑洪敊鏃訛紝鍙浠ユ煡鐪嬫湇鍔″櫒鏃ュ織錛屼簡瑙ｅ備綍瑙ｅ喅閿欒銆

2.鐒跺悗錛屼互Win2008涓轟緥錛岃茶堪濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇椼

3.鏂規硶/姝ラ:(1)榪涘叆Win2008鏈嶅姟鍣錛岀偣鍑誨紑濮嬶紝鎵懼埌鎺у埗闈㈡澘銆

4.(2)鐐瑰嚮榪涘叆鎺у埗闈㈡澘錛屾壘鍒扮＄悊宸ュ叿銆

5.(3)鎵懼埌綆＄悊宸ュ叿騫跺崟鍑諱簨浠舵煡鐪嬪櫒銆

6.(4)榪涘叆浜嬩歡鏌ョ湅鍣錛屽睍寮Windows鏃ュ織錛岀偣鍑葷郴緇燂紝淇℃伅浼氭樉紺哄湪鍙充晶銆

7.(5)鏌ョ湅浜嬩歡鏌ョ湅鍣ㄧ殑鍙充晶錛屾垜浠浼氱湅鍒板睘鎬ч夐」錛岃繖浜涢夐」宸茶鍦堝湪綰㈡嗕腑銆

8.(6)鍗曞嚮灞炴у悗錛屾垜浠灝嗙湅鍒版湇鍔″櫒鏃ュ織鐨勮礬寰勩

dell鏈嶅姟鍣ㄦ煡鐪媌ios鏃ュ織錛

鏂規硶涓錛氱洿鎺ヨ繘bios鏌ョ湅

鍦ㄥ紑鏈哄惎鍔ㄨ繃紼嬩腑錛岀瑪璁版湰涓鑸鎸塅2錛屽彴寮忔満涓鑸鎸塂el錛岃繘bios錛岀劧鍚庢壘鍒癇IOSVer鎴朾iosversion錛屽氨鏄痓ios鐗堟湰銆備笉鍚屽搧鐗岀數鑴戝紑鏈鴻繘BIOS鐣岄潰鏂規硶銆

鏂規硶浜岋細閫氳繃璇婃柇宸ュ叿鏌ョ湅

1銆佸悓鏃舵寜涓媁indows+R蹇鎹烽敭鎵撳紑榪愯岋紝杈撳叆dxdiag錛岀『瀹氾紱

2銆佹墦寮DirectX璇婃柇宸ュ叿錛屽湪緋葷粺閫夐」鍗★紝鏌ョ湅BIOS榪欎竴琛岋紝鍗沖彲鐪嬪埌bios鐗堟湰淇℃伅銆

鏂規硶涓夛細閫氳繃鍛戒護鏌ヨ

1銆佸悓鏃舵寜涓媁indows+R蹇鎹烽敭鎵撳紑榪愯岋紝杈撳叆powershell錛岀『瀹氾紱

2銆佸湪鍛戒護鎻愮ず妗嗭紝杈撳叆gwmi_classwin32_bios鎴杇wmi_classwin32_biossmbiosbiosversion錛屾寜鍥炶濺閿鎵ц岋紝鍗沖彲鏌ョ湅褰撳墠鐢佃剳涓繪澘鐨凚IOS淇℃伅銆

Linux涓婇儴緗茬殑鏈嶅姟鍣錛屾庝箞鏌ョ湅瀹炴椂鏃ュ織錛

linux鐨勬棩蹇椾竴鑸閮芥槸鍦/var/log/messages閲岄潰錛岃櫧鐒朵粬鏄瀹炴椂鏇存柊鍐呭圭殑錛屼絾鏄鐢ㄦ埛闇瑕乧at鏂囦歡鎵嶈兘鐪嬪埌鍐呭瑰傛灉浣犲笇鏈涘疄鏃剁湅鍒扮殑璇濓紝灝變竴涓姣旇緝鑰佸湡鐨勭増鏈錛岀敤tail-f/var/log/messages榪欐牱鐨勮瘽浠栦竴鏈夋洿鏂板氨浼氬睆鏄

濡備綍鏌ョ湅鏈嶅姟鍣ㄧ敤鎴風櫥闄嗘棩蹇楋紵

棰樹富鏄鐪嬪埌澶勭悊鍣ㄥ崰鐢ㄨ繃楂樻鐤戣鏀誨嚮鐨勩傞栧厛浣犲簲璇ョ湅涓嬫湇鍔″櫒榪涚▼鍗犵敤錛岀湅鐪嬫槸鍝浜涜繘紼嬶紝濡傛灉鏄痺eb鏈嶅姟榪涚▼鍗犵敤楂樸傛帴涓嬫潵灝辯患鍚堣嚜宸辨湇鍔″櫒鐨勯厤緗錛岀劧鍚庢鏌ュ綋鏃剁殑璁塊棶閲忥紝鐪嬫槸涓嶆槸紿佸炵殑澶ч噺璁塊棶閫犳垚銆傚彲浠ラ氳繃緗戠珯鏃ュ織浠ュ強絎涓夋柟緇熻″伐鍏鋒潵媯鏌ャ傛槸鐨勮瘽媯鏌ヨ繖浜涜塊棶鏄姝ｅ父鐢ㄦ埛璁塊棶榪樻槸鏈哄櫒璁塊棶銆傛満鍣ㄨ塊棶鐨勮瘽灝辮冭檻CC鏀誨嚮銆傚彲浠ラ傚綋瀹夎呬竴浜涜蔣浠墮槻鐏澧欏睆钄戒竴閮ㄥ垎銆

鍏充簬鏈嶅姟鍣ㄧ淮鎶わ紝榪欎釜闂棰樺緢澶э紝鏈嶅姟鍣ㄧ淮鎶や笉鏄涓鍙ヤ袱鍙ヨ兘璇村畬鐨勩傚彲浠ヨ冭檻浠ヤ笅涓や釜鏂歸潰錛

鏈嶅姟鍣ㄥ畨鍏ㄨ劇疆

鍏抽棴涓嶅繀瑕佺殑鏈嶅姟鍣ㄧ鍙ｏ紝Windows緋誨垪鏈嶅姟鍣ㄥ彲浠ュ畨瑁呬竴浜涢槻鎶よ蔣浠訛紝linux涓婄殑涓浜轟嬌鐢ㄥ嚑嬈懼規ц兘娑堣楄緝澶э紝緗戠珯鐩稿簲寰堟參榪欓噷涓嶅仛鎺ㄨ崘銆俵inux寮鍚瀵嗛掗鐧婚檰鏈嶅姟鍣ㄧ瓑銆

鏈嶅姟鍣ㄦц兘璁劇疆

緙撳瓨浼樺寲錛屾暟鎹搴撴ц兘璁劇疆浼樺寲錛孭HP鎬ц兘璁劇疆錛孭HP鎵╁睍鎬ц兘緇勪歡絳夈

浠ヤ笂鏄涓昏侀渶瑕佽冭檻鐨勪袱涓鏂歸潰銆傚叾浠栫殑姣斿傛槗鐢ㄦх瓑鐪嬭嚜宸辨儏鍐墊潵浼樺寲銆

python鍚鍔ㄦ湇鍔″櫒涓婂惎鍔ㄥ悗濡備綍鏌ョ湅鏃ュ織錛

榪涘叆python瀹夎呯洰褰曢噷闈㈡煡鐪嬫棩蹇楁枃浠

windows鏃ュ織淇濆瓨鏃墮棿鎬庝箞鐪嬶紵

1銆佸湪鎵撳紑鐨勬帶鍒墮潰鏉垮綋涓錛屼互鈥欑被鍒鈥樻柟寮忔潵鏌ョ湅鏃訛紝鐐瑰嚮緋葷粺鍜屽畨鍏錛

2銆佸湪鈥欑郴緇熷拰瀹夊叏鈥橀潰鏉誇腑鎵懼埌鈥欑＄悊宸ュ叿鈥橈紝鐐瑰嚮涓嬮潰鐨勨欐煡鐪嬩簨浠舵棩蹇椻橈紝灝卞彲浠ユ墦寮鈥欎簨浠舵煡鐪嬪櫒鈥樹簡銆

『肆』 Linux系統日誌怎麼查看

1. 前言

在Linux日常管理中，我們肯定有查看某些服務的日誌需求，或者是系統本身的日誌。本文主要介紹如何查看Linux的系統日誌，包括文件的路徑、工具的使用等等。會看Linux日誌是非常重要的，不僅在日常操作中可以迅速排錯，也可以快速的定位。

2. 如何查看Linux日誌

Linux日誌文件的路徑一般位於,/var/log/，比如ngix的日誌路徑為/var/log/nginx/，如果要查看某服務的日誌，還可以使用systemctl status xxx，比如查看ssh服務的壯態，systemctl status sshd

查看Linux某服務的日誌

Liunx的配置文件在/etc/rsyslog.d里，可以看到如下信息

在linux系統當中，有三個主要的日誌子系統：

1、連接時間日誌：由多個程序執行，把記錄寫入到/var/log/wtmp和/var/run/utmp，

login等程序會更新wtmp和utmp文件，使系統管理員能夠跟蹤誰在何時登錄到系統。

2、進程統計：由系統內核執行，當一個進程終止時，為每個進程往進程統計文件中寫一個記錄。進程統計的目的是為系統中的基本服務提供命令使用統計

3、錯誤日誌：由rsyslogd守護程序執行，各種系統守護進程、用戶程序和內核通過rsyslogd守護程序向文件/var/log/messages報告值得注意的時間。另外有許多linux程序創建日誌，像HTTP和FTP這樣提供的伺服器也保持詳細的日誌。

4、其他日誌……

查看Linux日誌默認路徑

可以看到在/var/log目錄下存在很多的日誌文件，接下來就對裡面的一些常用日誌文件進行分析

主要日誌文件介紹：

內核及公共消息日誌:/var/log/messages

計劃任務日誌：/var/log/cron

系統引導日誌：/var/log/dmesg

郵件系統日誌:/var/log/maillog

用戶登錄日誌：/var/log/lastlog

/var/log/boot.log（記錄系統在引導過程中發生的時間）

/var/log/secure (用戶驗證相關的安全性事件)

/var/log/wtmp(當前登錄用戶詳細信息)

/var/log/btmp（記錄失敗的的記錄）

/var/run/utmp（用戶登錄、注銷及系統開、關等事件）

日誌文件詳細介紹：

/var/log/secure

Linux系統安全日誌，記錄用戶和工作組的情況、用戶登陸認證情況

例子：我創建了一個zcwyou的用戶，然後改變了該用戶的密碼，於是該信息就被記錄到該日誌下

Linux系統安全日誌默認路徑

該日誌就詳細的記錄了我操作的過程。

內核及公共信息日誌，是許多進程日誌文件的匯總，從該文件中可以看出系統任何變化

查看Linux內核及公共信息日誌

系統引導日誌

該日誌使用dmesg命令快速查看最後一次系統引導的引導日誌

查看Linux系統系統引導日誌

最近的用戶登錄事件，一般記錄最後一次的登錄事件

該日誌不能用諸如cat、tail等查看，因為該日誌裡面是二進制文件，可以用lastlog命令查看，它根據UID排序顯示登錄名、埠號（tty）和上次登錄時間。如果一個用戶從未登錄過，lastlog顯示 Never logged。

該日誌文件永久記錄每個用戶登錄、注銷及系統的啟動、停機的事件。該日誌為二進制文件，不能用諸如tail/cat/等命令，使用last命令查看。

記錄郵件的收發

此文件是記錄錯誤登錄的日誌，可以記錄有人使用暴力破解ssh服務的日誌。該文件用lastb打開

該日誌記錄當前用戶登錄的情況，不會永久保存記錄。可以用who/w命令來查看

3. 常用的日誌分析工具與使用方法

3.1 統計一個文本中包含字元個數

3.2 查看當天訪問排行前10的url

3.3 查看apache的進程數

3.4 訪問量前10的IP

cut部分表示取第1列即IP列，取第4列則為URL的訪問量

3.5 查看最耗時的頁面

按第2列響應時間逆序排序

3.6 使用grep查找文件中指定字元出現的次數

-o 指示grep顯示所有匹配的地方，並且每一個匹配單獨一行輸出。這樣只要統計輸出的行數就可以知道這個字元出現的次數了。

4. 總結

查看Linux日誌需求了解和熟悉使用一些常用的工具方能提升我們的查找和定位效率。比如使用 Grep 搜索，使用Tail命令，使用Cut，使用AWK 和 Grok 解析日誌和使用 Rsyslog 和 AWK 過濾等等，只要能掌握這些工具。我們才能高效地處理和定位故障點。

https://www.linuxrumen.com/rmxx/647.html

『伍』 濡備綍鍦 Linux 緋葷粺涓鏌ョ湅緋葷粺鏃ュ織

Linux 緋葷粺鐨勬棩蹇楀姛鑳界姽濡備竴搴т赴瀵岀殑瀹濆簱錛岃板綍鐫緋葷粺鐨勮繍琛屽巻紼嬪拰鍏抽敭浜嬩歡錛屽逛簬鏁呴殰鎺掓煡鍜屾ц兘浼樺寲璧風潃鑷沖叧閲嶈佺殑浣滅敤銆

涓銆佸懡浠よ屽伐鍏風殑楂樻晥鏌ヨ

1. journalctl錛氱郴緇熸棩蹇楃殑瀹堟姢鑰

journalctl錛屼綔涓簊ystemd鐨勫己澶у伐鍏鳳紝鏄鏌ョ湅緋葷粺鏃ュ織鐨勯栭夈傞氳繃綆鍗曠殑鍛戒護 journalctl錛屽嵆鍙嫻忚堟墍鏈夋棩蹇楋紝鎸夐渶絳涢夛紝濡 journalctl -n 50 鏄劇ず鏈榪50鏉¤板綍錛屾垨 journalctl -u nginx.service 鏌ョ湅nginx鏈嶅姟鐩稿叧鐨勬棩蹇椼

2. dmesg錛氬唴鏍告棩蹇楃殑紿楀彛

<dmesg鎻愪緵浜嗗唴鏍稿惎鍔ㄤ互鏉ョ殑瀹炴椂璁板綍錛屼嬌鐢 dmesg鏌ョ湅鍏ㄩ儴鎴栫瓫閫夌壒瀹氫簨浠訛紝濡 dmesg -n 50 | grep error錛屽揩閫熷畾浣嶉敊璇淇℃伅銆

浜屻佹繁鍏ユ棩蹇楁枃浠剁殑鎺㈢儲

緋葷粺鏃ュ織鏂囦歡闅愯棌鐫鏃犲敖淇℃伅錛屼緥濡傦細

• /var/log/messages錛 涓絝欏紡鏌ョ湅緋葷粺娑堟伅錛屾兜鐩栧唴鏍稿拰搴旂敤紼嬪簭銆


• /var/log/syslog錛 syslog瀹堟姢榪涚▼鐨勪駭鐗╋紝涓/messages鍐呭圭浉浼箋


• /var/log/auth.log錛 璁板綍璁よ瘉鍜屾巿鏉冧簨浠訛紝濡傜敤鎴風櫥褰曞拰sudo鎿嶄綔銆


• /var/log/dmesg錛 鍐呮牳鐜緙撳啿鍖猴紝涓巇mesg鍛戒護杈撳嚭涓鑷淬

閫氳繃 cat鍛戒護鎴 tail -n 50鎴鍙栭儴鍒嗕俊鎮錛屾繁鍏ヤ簡瑙ｇ郴緇熺殑榪愯岀粏鑺傘

涓夈佸浘褰㈠寲宸ュ叿鐨勪究鎹蜂綋楠

鍥懼艦鐣岄潰宸ュ叿涓虹郴緇熸棩蹇楃＄悊澧炴坊浜嗗弸濂界晫闈錛屽侴NOME Logs鍜孠SystemLog錛屽畠浠鍦ㄥ悇鑷鐨勬岄潰鐜澧冧腑鎻愪緵鐩磋傜殑鏃ュ織鏌ラ槄銆傚悓鏃訛紝鍍廘ogwatch榪欐牱鐨勫懡浠よ屽伐鍏鳳紝榪樿兘鐢熸垚鏃ュ織鎶ュ憡錛岀畝鍖栫＄悊嫻佺▼銆

棰濆栬祫婧愶細瀛︿範涔嬫棶鐨勫姞閫熷櫒

瀵逛簬鎯寵佹繁鍏ュ︿範Linux鐨勬湅鍙嬩滑錛屾垜綺懼績鏁寸悊浜嗕赴瀵岀殑瀛︿範璧勬簮錛屽寘鎷瑙嗛戞暀紼嬨佺數瀛愪功鍜孭PT錛岀偣鍑婚摼鎺ュ嵆鍙鍏嶈垂鑾峰彇錛屽姪鍔涙偍鐨勫︿範涔嬫棶錛10T瀛︿範璧勬枡錛屾棤浠諱綍闅愯棌鏉′歡錛屾湡寰呮偍鐨勫彂鎺樺拰鍒嗕韓銆

鎸佺畫鏀鎸佷笌浜掑姩

鎰熻阿鎮ㄥ規垜鐨勫叧娉錛佸湪寮婧愪箣瀹訛紝鎮ㄥ皢鎵懼埌鏇村氬疄鐢ㄧ殑Linux鐭ヨ瘑銆傚傛灉鏈鏂囧規偍鏈夊府鍔╋紝璇風粰浜堢偣璧炲拰鏀惰棌錛屾偍鐨勬敮鎸佹槸鎴戝壋浣滅殑鍔ㄥ姏婧愭硥銆傛湡寰呮偍鐨勫弽棣堝拰鍒嗕韓錛岃╂垜浠鍏卞悓鎴愰暱錛

『陸』 Linux鏃ュ織鏌ヨ㈠懡浠linux鏃ュ織鏌ヨ

linux鎬庝箞鏌ョ湅log鏃ュ織錛

linux瀹炴椂鏌ョ湅log鏃ュ織鍛戒護鐨勬柟娉曪細鏌ョ湅涓涓鏂囦歡鎴栬呬竴涓鏃ュ織鏂囦歡錛岄氬父鐢ㄣ恗orexx.log銆戞垨鑰卌at鏌ョ湅錛岄渶瑕佸疄鏃剁殑鏌ョ湅榪愯屾棩蹇楋紝浣跨敤tail鍛戒護鏉ユ煡鐪嬶紝浠ｇ爜涓恆恡ail-fxx.log銆戙

linux涓嬫煡鎵炬棩蹇楃殑鎶宸э紵

鍏堝繀欏諱簡瑙ｄ袱涓鏈鍩烘湰鐨勫懡浠:

tail-n10test.log鏌ヨ㈡棩蹇楀熬閮ㄦ渶鍚10琛岀殑鏃ュ織;

tail-n+10test.log鏌ヨ10琛屼箣鍚庣殑鎵鏈夋棩蹇;

head-n10test.log鏌ヨ㈡棩蹇楁枃浠朵腑鐨勫ご10琛屾棩蹇;

head-n-10test.log鏌ヨ㈡棩蹇楁枃浠墮櫎浜嗘渶鍚10琛岀殑鍏朵粬鎵鏈夋棩蹇;

鍦烘櫙1:鎸夎屽彿鏌ョ湅---榪囨護鍑哄叧閿瀛楅檮榪戠殑鏃ュ織

鍥犱負閫氬父鏃跺欐垜浠鐢╣rep鎷垮埌鐨勬棩蹇楀緢灝,鎴戜滑闇瑕佹煡鐪嬮檮榪戠殑鏃ュ織.鎴戞槸榪欐牱鍋氱殑,棣栧厛:cat-ntest.log|grep"鍦板艦"寰楀埌鍏抽敭鏃ュ織鐨勮屽彿銆

3>寰楀埌"鍦板艦"鍏抽敭瀛楁墍鍦ㄧ殑琛屽彿鏄102琛.姝ゆ椂濡傛灉鎴戞兂鏌ョ湅榪欎釜鍏抽敭瀛楀墠10琛屽拰鍚10琛岀殑鏃ュ織:

cat-ntest.log|tail-n+92|head-n20

tail-n+92琛ㄧず鏌ヨ92琛屼箣鍚庣殑鏃ュ織

head-n20鍒欒〃紺哄湪鍓嶉潰鐨勬煡璇㈢粨鏋滈噷鍐嶆煡鍓20鏉¤板綍

鍦烘櫙2:閭ｄ箞鎸夋棩鏈熸庝箞鏌ュ憿?閫氬父鎴戜滑闈炲父闇瑕佹煡鎵炬寚瀹氭椂闂寸鐨勬棩蹇

sed-n'/2014-12-1716:17:20/,/2014-12-1716:17:36/p'test.log鐗瑰埆璇存槑:涓婇潰鐨勪袱涓鏃ユ湡蹇呴』鏄鏃ュ織涓鎵撳嵃鍑烘潵鐨勬棩蹇,鍚﹀垯鏃犳晥.銆傚叧浜庢棩鏈熸墦鍗,鍙浠ュ厛grep񟭎-12-1716:17:20'test.log鏉ョ『瀹氭棩蹇椾腑鏄鍚︽湁璇ユ椂闂寸偣,浠ョ『淇濈4姝ュ彲浠ユ嬁鍒版棩蹇

榪欎釜鏍規嵁鏃墮棿孌墊煡璇㈡棩蹇楁槸闈炲父鏈夌敤鐨勫懡浠.

濡傛灉鎴戜滑鏌ユ壘鐨勬棩蹇楀緢澶,鎵撳嵃鍦ㄥ睆騫曚笂涓嶆柟渚挎煡鐪,鏈変袱涓鏂規硶:

(1)浣跨敤more鍜宭ess鍛戒護,濡:cat-ntest.log|grep"鍦板艦"|more榪欐牱灝卞垎欏墊墦鍗頒簡,閫氳繃鐐瑰嚮絀烘牸閿緲婚〉

(2)浣跨敤>xxx.txt灝嗗叾淇濆瓨鍒版枃浠朵腑,鍒版椂鍙浠ユ媺涓嬭繖涓鏂囦歡鍒嗘瀽.濡:

cat-ntest.log|grep"鍦板艦">xxx.txt

linux鎬庢牱瀹炴椂鏌ョ湅鏃ュ織鏂囦歡錛

瑕佺湅浣犳兂鏌ヤ粈涔堟牱鐨勬棩蹇椾簡錛宭inux涓嬮潰鏃ュ織鏈夊緢澶氾紝鏈夌郴緇熺殑錛屾湁搴旂敤鐨勩傚傛灉鏄緋葷粺涓嬮潰鐨勬棩蹇楋紝涓鑸閮藉湪/var/log涓嬮潰銆

濡傛灉鏄鐪嬪簲鐢ㄦ棩蹇楋紝閭ｅ氨鍒板簲鐢ㄦ棩蹇楁墍鍦ㄧ洰褰曞幓鐪嬶紝榪欎釜瑕佺湅鍏蜂綋搴旂敤錛屾瘡涓鐨勮礬寰勯兘涓嶄竴鏍楓

涓鑸鏌ョ湅鏃ュ織錛屽彲浠ョ湅闈欐佹棩蹇楋紝涔熷氨鏄鐢'vi鏃ュ織鏂囦歡鍚'錛屾垨鑰呯敤more涔嬬被鐨勫伐鍏鋒煡鐪嬨

榪樺彲浠ョ湅鍔ㄦ佹棩蹇楋紝鐢'tail-f鏃ュ織鏂囦歡鍚'錛屽彲浠ュ疄鏃舵煡鐪嬫墦鍛戒護涔嬪悗浜х敓鐨勬墍鏈夋柊鏃ュ織銆

linux搴旂敤涓繪満濡備綍鏌ョ湅閿欒鏃ュ織錛

浠ヤ笅鏄濡備綍鏌ョ湅閿欒鏃ュ織鏂規硶錛屼粎渚涘弬鑰冦

1銆佽繛鎺ヤ笂鐩稿簲鐨刲inux涓繪満錛岃繘鍏ュ埌絳夊緟杈撳叆shell鎸囦護鐨刲inux鍛戒護琛岀姸鎬佷笅銆

2銆佸叾嬈★紝鍦╨inux鍛戒護琛屼腑杈撳叆錛歵ail/var/log/messages銆

3銆佹渶鍚庯紝鎸変笅鍥炶濺閿鎵ц宻hell鎸囦護錛屾ゆ椂浼氱湅鍒發inux鐨勯敊璇鏃ュ織琚鎵撳嵃鍑恆