检查linux发包日志

『壹』 如何查看linux的系统log日志

日志文件详细地记录了系统每天发生的各种各样的事件。用户可以通过日志文件检查错误产生的原因，或者在受到攻击和黑客入侵时追踪攻击者的踪迹。日志的两个比较重要的作用是：审核和监测。 Linux系统的日志主要分为两种类型： 1．进程所属日志 由用户进程或其他系统服务进程自行生成的日志，比如服务器上的access_log与error_log日志文件。 2．syslog消息 系统syslog记录的日志，任何希望记录日志的系统进程或者用户进程都可以给调用syslog来记录日志。 日志系统可以划分为三个子系统： 1． 连接时间日志--由多个程序执行，把纪录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。 2． 进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。 3． 错误日志--由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。 2．察看日志文件 Linux系统所有的日志文件都在/var/log下，且必须有root权限才能察看。 日志文件其实是纯文本的文件，每一行就是一个消息。察看方式有很多。 1． cat命令。日志文件总是很大的，因为从第一次启动Linux开始，消息都累积在日志文件中。如果这个文件不只一页，那么就会因为显示滚动得太快看不清文件的内容。 2． 文本编辑器。最好也不要用文本编辑器打开日志文件，这是因为一方面很耗费内存，另一方面不允许随意改动日志文件。 3．用more或less那样的分页显示程序。 4．用grep查找特定的消息。 每一行表示一个消息，而且都由四个域的固定格式组成： n 时间标签（timestamp），表示消息发出的日期和时间 n 主机名（hostname）（在我们的例子中主机名为escher），表示生成消息的计算机的名字。如果只有一台计算机，主机名就可能没有必要了。但是，如果在网络环境中使用syslog，那么就可能要把不同主机的消息发送到一台服务器上集中处理。 n 生成消息的子系统的名字。可以是"kernel"，表示消息来自内核，或者是进程的名字，表示发出消息的程序的名字。在方括号里的是进程的PID。 n 消息（message），剩下的部分就是消息的内容。 举例： 在[root@localhost root]# 提示符下输入：tail /var/log/messages Jan 05 21:55:51 localhost last message repeated 3 times Jan 05 21:55:51 localhost kernel: [drm] AGP 0.99 on Intel i810 @ 0xf0000000 128M B Jan 05 21:55:51 localhost kernel: [drm] Initialized i830 1.3.2 20021108 on minor 0 Jan 05 21:55:51 localhost kernel: mtrr: base(0xf0000000) is not aligned on a siz e(0x12c000) boundary Jan 05 21:56:35 localhost 1月 28 21:56:35 gdm(pam_unix)[4079]: session opened f or user root by (uid=0) Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 正在启动（版本 2. 2.0），pid 4162 用户"root" Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re adonly:/etc/gconf/gconf.xml.mandatory"指向位于 0 的只读配置源 Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re adwrite:/root/.gconf"指向位于 1 的可写入配置源 Jan 05 21:56:39 localhost 1月 28 21:56:39 gconfd (root-4162): 解析的地址"xml:re adonly:/etc/gconf/gconf.xml.defaults"指向位于 2 的只读配置源 Jan 05 21:58:20 localhost kernel: MSDOS FS: IO charset cp936 值得注意的是，与连接时间日志不同，进程统计子系统默认不激活，它必须启动。在Linux 系统中启动进程统计使用accton命令，必须用root身份来运行。accton命令的形式为：accton file，file必须事先存在。先使用touch命令创建pacct文件：touch /var/log/pacct，然后运行accton：accton /var/log/pacct。一旦accton被激活，就可以使用lastcomm命令监测系统中任何时候执行的命令。若要关闭统计，可以使用不带任何 参数的accton命令。 3．日志系统工作原理及配置 3.1 syslog 它同closelog, openlog共同给system logger发送消息。 Linux内核由很多子系统组成，包括网络、文件访问、内存管理等。子系统需要给用户传送一些消息，这些消息内容包括消息的来源及其重要性等。所有的子系统都要把消息送到一个可以维护的公用消息区。于是，就有了一个叫Syslog的程序。 这个程序负责接收消息（比如：系统核心和许多系统程序产生的错误信息、警告信息和其他信息，每个信息都包括重要级），并把消息分发到合适的地方。通常情况 下，所有的消息都被记录到特定的文件——日志文件中（通常是/var/adm或/var/log目录下的messages文件），特别重要的消息也会在用 户终端窗口上显示出来。 syslog工具有两个重要文件：syslogd和syslog.Conf 它能接受访问系统的日志信息并且根据 "/etc/syslog.conf" 配置文件中的指令处理这些信息。守护进程和内核提供了访问系统的日志信息。因此，任何希望生成日志信息的程序都可以向 syslog 接口呼叫生成该信息。 3.2 syslogd守护进程 就象其它复杂的操作系统那样，Linux也是由很多不同的子系统组成的。有些叫做daemon的程序一直在后台运行（daemon：守护神之意。也就是 说，他们"默默无闻"，不需要和用户交互），处理一些象打印、发送邮件、建立Internet连接，等等日常工作。每一个子系统发出日志消息的时候都会给 消息指定一个类型。一个消息分成两个部分："设备（facility）"和"级别(level)"。"设备"标识发出消息的子系统，可以把同一类型的消息组合在一起，"级别"表示消息的重要性，其范围从debug（最不重要）到emerg（最重要），facility和level组合起来称为priority。（详细解释参照5.3） /usr/include/sys/syslog.h中对此有相关的定义。 用户看不到daemon程序，因为它们没有窗口和用户界面。但是，这些程序有时候也要给用户传递一些信息。为了实现这个目的，就需要一个特殊的机制。syslogd就是daemon的一个很好的例子，它在后台运行并且把消息从日志区转移到日志文件中去。 函数接口 #include void openlog( char * , int , int ) 其中，可以是以下值的OR组合： LOG_CONS : 如果消息无法送到syslogd，直接输出到系统console。 LOG_NDELAY : 立即打开到syslogd的连接，默认连接是在第一次写入讯息时才打开的。 LOG_PERROR : 将消息也同时送到stderr 上 LOG_PID : 将PID记录到每个消息中 void syslog( int , char * ) 其中，是facility和level的OR组合 void closelog( void ) 一般只需要用syslog()函数，其他函数可以不用。 3.3 syslog.conf 这是一个非常重要的文件。位于"/etc/"目录下。通知 syslogd 如何根据设备和信息重要级别来报告信息。 该文件使用下面的形式： facility.level action syslog.conf 的第一列facility.level用来指定日志功能和日志级别，中间用.隔开，可以使用*来匹配 所有的日志功能和日志级别。第二列action是消息的分发目标。 空白行和以#开头的行是注释，可以忽略。 Facility.level 字段也被称做选择域（seletor）。 n facility 指定 syslog 功能，主要包括以下这些： auth 由 pam_pwdb 报告的认证活动。 authpriv 包括特权信息如用户名在内的认证活动 cron 与 cron 和 at 有关的信息。 daemon 与 inetd 守护进程有关的信息。 kern 内核信息，首先通过 klogd 传递。 lpr 与打印服务有关的信息。 mail 与电子邮件有关的信息 mark syslog 内部功能用于生成时间戳 news 来自新闻服务器的信息 syslog 由 syslog 生成的信息 user 由用户程序生成的信息 uucp 由 uucp 生成的信息 local0----local7 与自定义程序使用，例如使用 local5 做为 ssh 功能 * 通配符代表除了 mark 以外的所有功能 level 级别，决定讯息的重要性。 与每个功能对应的优先级是按一定顺序排列的，emerg 是最高级，其次是 alert，依次类推。缺省时，在 /etc/syslog.conf 记录中指定的级别为该级别和更高级别。如果希望使用确定的级别可以使用两个运算符号！(不等)和=。 例如：user.=info 表示告知 syslog 接受所有在 info 级别上的 user 功能信息。 n 以下的等级重要性逐次递减: emerg 该系统不可用 alert 需要立即被修改的条件 crit 阻止某些工具或子系统功能实现的错误条件 err 阻止工具或某些子系统部分功能实现的错误条件 warning 预警信息 notice 具有重要性的普通条件 info 提供信息的消息 debug 不包含函数条件或问题的其他信息 none 没有重要级，通常用于排错 * 所有级别，除了none n action 字段为动作域，所表示的活动具有许多灵活性，特别是，可以使用名称管道的作用是可以使 syslogd 生成后处理信息。 syslog 主要支持以下活动： file 将消息追加到指定的文件尾 terminal 或 print 完全的串行或并行设备标志符 @host 远程的日志服务器 username 将消息写到指定的用户 named pipe 指定使用 mkfifo 命令来创建的 FIFO 文件的绝对路径。 * 将消息写到所有的用户 选择域指明消息的类型和优先级；动作域指明syslogd接收到一个与选择标准相匹配的消息时所执行的动作。每个选项是由设备和优先级组成。当指明一个优先级时，syslogd将纪录一个拥有相同或更高优先级的消息。比如如果指明"crit"，则所有标为crit、alert和emerg的消息将被纪录。每行的行动域指明当选择域选择了一个给定消息后应该把他发送到什么地方。 以下是一个实际站点的配置（syslog.conf）文件： # Store critical stuff in critical # *.=crit;kern.none /var/adm/critical 这个将把所有信息以优先权的crit保存在/var/adm/critical文件中，除了一些内核信息 # Kernel messages are first, stored in the kernel # file, critical messages and higher ones also go # to another host and to the console # kern.* /var/adm/kernel kern.crit @finlandia kern.crit /dev/console kern.info;kern.!err /var/adm/kernel-info 第一条代码指引一些内核设备访问文件/var/adm/kernel的信息。 第二条代码直接引导所有拥有crit和更高优先权的内核信息访问远程主机。如果它们也存储在远程主机上，仍旧可以试着找到毁坏的原因。 第四行说明syslogd 保存了所有拥有info 到warning优先级的内核信息在/var/adm/kernel-info文件夹下。所有err和更高优先级的被排除在外。 # The tcp wrapper loggs with mail.info, we display # all the connections on tty12 # mail.=info /dev/tty12 这个引导所有使用mail.info (in source LOG_MAIL LOG_INFO)的信息到/dev/tty12下，第12 个控制台。例如tcpwrapper tcpd (8)载缺省时使用这个 # Store all mail concerning stuff in a file mail.*;mail.!=info /var/adm/mail 模式匹配了所有具有mail功能的信息，除了拥有info优先级的。他们将被保存在文件/var/adm/mail中 # Log all mail.info and news.info messages to info # mail,news.=info /var/adm/info 提取所有具有mail.info 或news.info 功能优先级的信息存储在文件/var/adm/info中 # Log info and notice messages to messages file # *.=info;*.=notice;\ mail.none /var/log/messages 使所有syslogd日志中具有info 或notice功能的信息存储在文件/var/log/messages中，除了所有mail功能的信息 # Log info messages to messages file # *.=info;\ mail,news.none /var/log/messages 这个声明使syslogd日志中所有具有info优先权的信息存储在/var/log/messages文件中。但是一些有mail 或news功能的信息不能被存储。 # Emergency messages will be displayed using wall # *.=emerg * 这行代码告诉syslogd写所有紧急信息到所有当前登陆用户日志中。这个将被实现 # Messages of the priority alert will be directed # to the operator # *.alert root,joey *.* @finlandia 这个代码指引所有具有alert 或更高级权限的信息到终端操作。 第二行代码引导所有信息到叫做finlandia的远程主机。这个代码非常有用，特别是在所有syslog信息将被保存到一台机器上的群集计算机。 3.4 klogd 守护进程 klog是一个从UNIX内核接受消息的设备 klogd 守护进程获得并记录 Linux 内核信息。通常，syslogd 会记录 klogd 传来的所有信息。也就是说，klogd会读取内核信息，并转发到syslogd进程。然而，如果调用带有 -f filename 变量的 klogd 时，klogd 就在 filename 中记录所有信息，而不是传给 syslogd。当指定另外一个文件进行日志记录时，klogd 就向该文件中写入所有级别或优先权。Klogd 中没有和 /etc/syslog.conf 类似的配置文件。使用 klogd 而避免使用 syslogd 的好处在于可以查找大量错误。 总结 其中，箭头代表发送消息给目标进程或者将信息写入目标文件。 图1 Linux日志系统 日志管理及日志保护 logrotate程序用来帮助用户管理日志文件，它以自己的守护进程工作。logrotate周期性地旋转日志文件，可以周期性地把每个日志文件重命名 成一个备份名字，然后让它的守护进程开始使用一个日志文件的新的拷贝。在/var/log/下产生如maillog、maillog.1、 maillog.2、boot.log.1、boot.log.2之类的文件。它由一个配置文件驱动，该文件是 /etc/logroatate.conf。 以下是logroatate.conf文件例子： # see "man logrotate" for details # rotate log files weekly weekly #以7天为一个周期 # keep 4 weeks worth of backlogs rotate 4 #每隔4周备份日志文件 # send errors to root errors root #发生错误向root报告 # create new (empty) log files after rotating old ones create #转完旧的日志文件就创建新的日志文件 # uncomment this if you want your log files compressed #compress #指定是否压缩日志文件 # RPM packages drop log rotation information into this directory include /etc/logrotate.d # no packages own lastlog or wtmp -- we'll rotate them here /var/log/wtmp { monthly create 0664 root utmp rotate 1 } # system-specific logs may be configured here 在网络应用中，有一种保护日志的方式，在网络中设定一台秘密的syslog主机，把这台主机的网卡设为混杂模式，用来监听子网内所有的syslog包，这 样把所有需要传送日志的主机配置为向一台不存在的主机发送日志即可。这样即使黑客攻陷了目标主机，也无法通过syslog.conf文件找到备份日志的主 机，那只是一个不存在的主机。实际操作中还可以辅以交换机的配置，以确保syslog包可以被备份日志主机上的syslog进程接受到。比如把 syslog.conf中的传送日志主机设为 @192.168.0.13，但实际网络中不存在这个日志主机，实际可能是192.168.0.250或者其他主机正在接受syslog包。

『贰』 linux中怎样查看日志

方法/步骤

• 先必须了解两个最基本的命令:

  tail -n 10 test.log 查询日志尾部最后10行的日志;

  tail -n +10 test.log 查询10行之后的所有日志;

  head -n 10 test.log 查询日志文件中的头10行日志;

  head -n -10 test.log 查询日志文件除了最后10行的其他所有日志;

• 场景1: 按行号查看---过滤出关键字附近的日志

  因为通常时候我们用grep拿到的日志很少,我们需要查看附近的日志.

  我是这样做的,首先: cat -n test.log |grep "地形" 得到关键日志的行号

• <3>得到"地形"关键字所在的行号是102行. 此时如果我想查看这个关键字前10行和后10行的日志:

  cat -n test.log |tail -n +92|head -n 20

  tail -n +92表示查询92行之后的日志

  head -n 20 则表示在前面的查询结果里再查前20条记录

• 场景2:那么按日期怎么查呢? 通常我们非常需要查找指定时间端的日志

  sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p' test.log

  特别说明:上面的两个日期必须是日志中打印出来的日志,否则无效.

• 关于日期打印,可以先 grep '2014-12-17 16:17:20' test.log 来确定日志中是否有该时间点,以确保第4步可以拿到日志

  这个根据时间段查询日志是非常有用的命令.

• 如果我们查找的日志很多,打印在屏幕上不方便查看, 有两个方法:

  (1)使用more和less命令, 如: cat -n test.log |grep "地形" |more 这样就分页打印了,通过点击空格键翻页

  (2)使用 >xxx.txt 将其保存到文件中,到时可以拉下这个文件分析.如:

  cat -n test.log |grep "地形" >xxx.txt

• 这几个日志查看方法应该可以满足日常需求了.

『叁』 鎬庢牱鏌ョ湅Linux鏃ュ織锛

濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇楋紝濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇

浠ヤ笅鏄鍏充簬鈥

濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇楀備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇椼嬬殑瑙ｇ瓟銆

1.鐩镐俊缁忓父缂栫▼鐨勬湅鍙嬮兘鐭ラ亾锛屽綋绋嬪簭鍑洪敊鏃讹紝鍙浠ユ煡鐪嬫湇鍔″櫒鏃ュ織锛屼簡瑙ｅ備綍瑙ｅ喅閿欒銆

2.鐒跺悗锛屼互Win2008涓轰緥锛岃茶堪濡備綍鏌ョ湅鏈嶅姟鍣ㄦ棩蹇椼

3.鏂规硶/姝ラ:(1)杩涘叆Win2008鏈嶅姟鍣锛岀偣鍑诲紑濮嬶紝鎵惧埌鎺у埗闈㈡澘銆

4.(2)鐐瑰嚮杩涘叆鎺у埗闈㈡澘锛屾壘鍒扮＄悊宸ュ叿銆

5.(3)鎵惧埌绠＄悊宸ュ叿骞跺崟鍑讳簨浠舵煡鐪嬪櫒銆

6.(4)杩涘叆浜嬩欢鏌ョ湅鍣锛屽睍寮Windows鏃ュ織锛岀偣鍑荤郴缁燂紝淇℃伅浼氭樉绀哄湪鍙充晶銆

7.(5)鏌ョ湅浜嬩欢鏌ョ湅鍣ㄧ殑鍙充晶锛屾垜浠浼氱湅鍒板睘鎬ч夐」锛岃繖浜涢夐」宸茶鍦堝湪绾㈡嗕腑銆

8.(6)鍗曞嚮灞炴у悗锛屾垜浠灏嗙湅鍒版湇鍔″櫒鏃ュ織鐨勮矾寰勩

dell鏈嶅姟鍣ㄦ煡鐪媌ios鏃ュ織锛

鏂规硶涓锛氱洿鎺ヨ繘bios鏌ョ湅

鍦ㄥ紑鏈哄惎鍔ㄨ繃绋嬩腑锛岀瑪璁版湰涓鑸鎸塅2锛屽彴寮忔満涓鑸鎸塂el锛岃繘bios锛岀劧鍚庢壘鍒癇IOSVer鎴朾iosversion锛屽氨鏄痓ios鐗堟湰銆備笉鍚屽搧鐗岀數鑴戝紑鏈鸿繘BIOS鐣岄潰鏂规硶銆

鏂规硶浜岋細閫氳繃璇婃柇宸ュ叿鏌ョ湅

1銆佸悓鏃舵寜涓媁indows+R蹇鎹烽敭鎵撳紑杩愯岋紝杈撳叆dxdiag锛岀‘瀹氾紱

2銆佹墦寮DirectX璇婃柇宸ュ叿锛屽湪绯荤粺閫夐」鍗★紝鏌ョ湅BIOS杩欎竴琛岋紝鍗冲彲鐪嬪埌bios鐗堟湰淇℃伅銆

鏂规硶涓夛細閫氳繃鍛戒护鏌ヨ

1銆佸悓鏃舵寜涓媁indows+R蹇鎹烽敭鎵撳紑杩愯岋紝杈撳叆powershell锛岀‘瀹氾紱

2銆佸湪鍛戒护鎻愮ず妗嗭紝杈撳叆gwmi_classwin32_bios鎴杇wmi_classwin32_biossmbiosbiosversion锛屾寜鍥炶溅閿鎵ц岋紝鍗冲彲鏌ョ湅褰撳墠鐢佃剳涓绘澘鐨凚IOS淇℃伅銆

Linux涓婇儴缃茬殑鏈嶅姟鍣锛屾庝箞鏌ョ湅瀹炴椂鏃ュ織锛

linux鐨勬棩蹇椾竴鑸閮芥槸鍦/var/log/messages閲岄潰锛岃櫧鐒朵粬鏄瀹炴椂鏇存柊鍐呭圭殑锛屼絾鏄鐢ㄦ埛闇瑕乧at鏂囦欢鎵嶈兘鐪嬪埌鍐呭瑰傛灉浣犲笇鏈涘疄鏃剁湅鍒扮殑璇濓紝灏变竴涓姣旇緝鑰佸湡鐨勭増鏈锛岀敤tail-f/var/log/messages杩欐牱鐨勮瘽浠栦竴鏈夋洿鏂板氨浼氬睆鏄

濡備綍鏌ョ湅鏈嶅姟鍣ㄧ敤鎴风櫥闄嗘棩蹇楋紵

棰樹富鏄鐪嬪埌澶勭悊鍣ㄥ崰鐢ㄨ繃楂樻鐤戣鏀诲嚮鐨勩傞栧厛浣犲簲璇ョ湅涓嬫湇鍔″櫒杩涚▼鍗犵敤锛岀湅鐪嬫槸鍝浜涜繘绋嬶紝濡傛灉鏄痺eb鏈嶅姟杩涚▼鍗犵敤楂樸傛帴涓嬫潵灏辩患鍚堣嚜宸辨湇鍔″櫒鐨勯厤缃锛岀劧鍚庢鏌ュ綋鏃剁殑璁块棶閲忥紝鐪嬫槸涓嶆槸绐佸炵殑澶ч噺璁块棶閫犳垚銆傚彲浠ラ氳繃缃戠珯鏃ュ織浠ュ強绗涓夋柟缁熻″伐鍏锋潵妫鏌ャ傛槸鐨勮瘽妫鏌ヨ繖浜涜块棶鏄姝ｅ父鐢ㄦ埛璁块棶杩樻槸鏈哄櫒璁块棶銆傛満鍣ㄨ块棶鐨勮瘽灏辫冭檻CC鏀诲嚮銆傚彲浠ラ傚綋瀹夎呬竴浜涜蒋浠堕槻鐏澧欏睆钄戒竴閮ㄥ垎銆

鍏充簬鏈嶅姟鍣ㄧ淮鎶わ紝杩欎釜闂棰樺緢澶э紝鏈嶅姟鍣ㄧ淮鎶や笉鏄涓鍙ヤ袱鍙ヨ兘璇村畬鐨勩傚彲浠ヨ冭檻浠ヤ笅涓や釜鏂归潰锛

鏈嶅姟鍣ㄥ畨鍏ㄨ剧疆

鍏抽棴涓嶅繀瑕佺殑鏈嶅姟鍣ㄧ鍙ｏ紝Windows绯诲垪鏈嶅姟鍣ㄥ彲浠ュ畨瑁呬竴浜涢槻鎶よ蒋浠讹紝linux涓婄殑涓浜轰娇鐢ㄥ嚑娆惧规ц兘娑堣楄緝澶э紝缃戠珯鐩稿簲寰堟參杩欓噷涓嶅仛鎺ㄨ崘銆俵inux寮鍚瀵嗛挜鐧婚檰鏈嶅姟鍣ㄧ瓑銆

鏈嶅姟鍣ㄦц兘璁剧疆

缂撳瓨浼樺寲锛屾暟鎹搴撴ц兘璁剧疆浼樺寲锛孭HP鎬ц兘璁剧疆锛孭HP鎵╁睍鎬ц兘缁勪欢绛夈

浠ヤ笂鏄涓昏侀渶瑕佽冭檻鐨勪袱涓鏂归潰銆傚叾浠栫殑姣斿傛槗鐢ㄦх瓑鐪嬭嚜宸辨儏鍐垫潵浼樺寲銆

python鍚鍔ㄦ湇鍔″櫒涓婂惎鍔ㄥ悗濡備綍鏌ョ湅鏃ュ織锛

杩涘叆python瀹夎呯洰褰曢噷闈㈡煡鐪嬫棩蹇楁枃浠

windows鏃ュ織淇濆瓨鏃堕棿鎬庝箞鐪嬶紵

1銆佸湪鎵撳紑鐨勬帶鍒堕潰鏉垮綋涓锛屼互鈥欑被鍒鈥樻柟寮忔潵鏌ョ湅鏃讹紝鐐瑰嚮绯荤粺鍜屽畨鍏锛

2銆佸湪鈥欑郴缁熷拰瀹夊叏鈥橀潰鏉夸腑鎵惧埌鈥欑＄悊宸ュ叿鈥橈紝鐐瑰嚮涓嬮潰鐨勨欐煡鐪嬩簨浠舵棩蹇椻橈紝灏卞彲浠ユ墦寮鈥欎簨浠舵煡鐪嬪櫒鈥樹簡銆

『肆』 Linux系统日志怎么查看

1. 前言

在Linux日常管理中，我们肯定有查看某些服务的日志需求，或者是系统本身的日志。本文主要介绍如何查看Linux的系统日志，包括文件的路径、工具的使用等等。会看Linux日志是非常重要的，不仅在日常操作中可以迅速排错，也可以快速的定位。

2. 如何查看Linux日志

Linux日志文件的路径一般位于,/var/log/，比如ngix的日志路径为/var/log/nginx/，如果要查看某服务的日志，还可以使用systemctl status xxx，比如查看ssh服务的壮态，systemctl status sshd

查看Linux某服务的日志

Liunx的配置文件在/etc/rsyslog.d里，可以看到如下信息

在linux系统当中，有三个主要的日志子系统：

1、连接时间日志：由多个程序执行，把记录写入到/var/log/wtmp和/var/run/utmp，

login等程序会更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。

2、进程统计：由系统内核执行，当一个进程终止时，为每个进程往进程统计文件中写一个记录。进程统计的目的是为系统中的基本服务提供命令使用统计

3、错误日志：由rsyslogd守护程序执行，各种系统守护进程、用户程序和内核通过rsyslogd守护程序向文件/var/log/messages报告值得注意的时间。另外有许多linux程序创建日志，像HTTP和FTP这样提供的服务器也保持详细的日志。

4、其他日志……

查看Linux日志默认路径

可以看到在/var/log目录下存在很多的日志文件，接下来就对里面的一些常用日志文件进行分析

主要日志文件介绍：

内核及公共消息日志:/var/log/messages

计划任务日志：/var/log/cron

系统引导日志：/var/log/dmesg

邮件系统日志:/var/log/maillog

用户登录日志：/var/log/lastlog

/var/log/boot.log（记录系统在引导过程中发生的时间）

/var/log/secure (用户验证相关的安全性事件)

/var/log/wtmp(当前登录用户详细信息)

/var/log/btmp（记录失败的的记录）

/var/run/utmp（用户登录、注销及系统开、关等事件）

日志文件详细介绍：

/var/log/secure

Linux系统安全日志，记录用户和工作组的情况、用户登陆认证情况

例子：我创建了一个zcwyou的用户，然后改变了该用户的密码，于是该信息就被记录到该日志下

Linux系统安全日志默认路径

该日志就详细的记录了我操作的过程。

内核及公共信息日志，是许多进程日志文件的汇总，从该文件中可以看出系统任何变化

查看Linux内核及公共信息日志

系统引导日志

该日志使用dmesg命令快速查看最后一次系统引导的引导日志

查看Linux系统系统引导日志

最近的用户登录事件，一般记录最后一次的登录事件

该日志不能用诸如cat、tail等查看，因为该日志里面是二进制文件，可以用lastlog命令查看，它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示 Never logged。

该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件。该日志为二进制文件，不能用诸如tail/cat/等命令，使用last命令查看。

记录邮件的收发

此文件是记录错误登录的日志，可以记录有人使用暴力破解ssh服务的日志。该文件用lastb打开

该日志记录当前用户登录的情况，不会永久保存记录。可以用who/w命令来查看

3. 常用的日志分析工具与使用方法

3.1 统计一个文本中包含字符个数

3.2 查看当天访问排行前10的url

3.3 查看apache的进程数

3.4 访问量前10的IP

cut部分表示取第1列即IP列，取第4列则为URL的访问量

3.5 查看最耗时的页面

按第2列响应时间逆序排序

3.6 使用grep查找文件中指定字符出现的次数

-o 指示grep显示所有匹配的地方，并且每一个匹配单独一行输出。这样只要统计输出的行数就可以知道这个字符出现的次数了。

4. 总结

查看Linux日志需求了解和熟悉使用一些常用的工具方能提升我们的查找和定位效率。比如使用 Grep 搜索，使用Tail命令，使用Cut，使用AWK 和 Grok 解析日志和使用 Rsyslog 和 AWK 过滤等等，只要能掌握这些工具。我们才能高效地处理和定位故障点。

https://www.linuxrumen.com/rmxx/647.html

『伍』 濡備綍鍦 Linux 绯荤粺涓鏌ョ湅绯荤粺鏃ュ織

Linux 绯荤粺鐨勬棩蹇楀姛鑳界姽濡備竴搴т赴瀵岀殑瀹濆簱锛岃板綍鐫绯荤粺鐨勮繍琛屽巻绋嬪拰鍏抽敭浜嬩欢锛屽逛簬鏁呴殰鎺掓煡鍜屾ц兘浼樺寲璧风潃鑷冲叧閲嶈佺殑浣滅敤銆

涓銆佸懡浠よ屽伐鍏风殑楂樻晥鏌ヨ

1. journalctl锛氱郴缁熸棩蹇楃殑瀹堟姢鑰

journalctl锛屼綔涓簊ystemd鐨勫己澶у伐鍏凤紝鏄鏌ョ湅绯荤粺鏃ュ織鐨勯栭夈傞氳繃绠鍗曠殑鍛戒护 journalctl锛屽嵆鍙娴忚堟墍鏈夋棩蹇楋紝鎸夐渶绛涢夛紝濡 journalctl -n 50 鏄剧ず鏈杩50鏉¤板綍锛屾垨 journalctl -u nginx.service 鏌ョ湅nginx鏈嶅姟鐩稿叧鐨勬棩蹇椼

2. dmesg锛氬唴鏍告棩蹇楃殑绐楀彛

<dmesg鎻愪緵浜嗗唴鏍稿惎鍔ㄤ互鏉ョ殑瀹炴椂璁板綍锛屼娇鐢 dmesg鏌ョ湅鍏ㄩ儴鎴栫瓫閫夌壒瀹氫簨浠讹紝濡 dmesg -n 50 | grep error锛屽揩閫熷畾浣嶉敊璇淇℃伅銆

浜屻佹繁鍏ユ棩蹇楁枃浠剁殑鎺㈢储

绯荤粺鏃ュ織鏂囦欢闅愯棌鐫鏃犲敖淇℃伅锛屼緥濡傦細

• /var/log/messages锛 涓绔欏紡鏌ョ湅绯荤粺娑堟伅锛屾兜鐩栧唴鏍稿拰搴旂敤绋嬪簭銆


• /var/log/syslog锛 syslog瀹堟姢杩涚▼鐨勪骇鐗╋紝涓/messages鍐呭圭浉浼笺


• /var/log/auth.log锛 璁板綍璁よ瘉鍜屾巿鏉冧簨浠讹紝濡傜敤鎴风櫥褰曞拰sudo鎿嶄綔銆


• /var/log/dmesg锛 鍐呮牳鐜缂撳啿鍖猴紝涓巇mesg鍛戒护杈撳嚭涓鑷淬

閫氳繃 cat鍛戒护鎴 tail -n 50鎴鍙栭儴鍒嗕俊鎭锛屾繁鍏ヤ簡瑙ｇ郴缁熺殑杩愯岀粏鑺傘

涓夈佸浘褰㈠寲宸ュ叿鐨勪究鎹蜂綋楠

鍥惧舰鐣岄潰宸ュ叿涓虹郴缁熸棩蹇楃＄悊澧炴坊浜嗗弸濂界晫闈锛屽侴NOME Logs鍜孠SystemLog锛屽畠浠鍦ㄥ悇鑷鐨勬岄潰鐜澧冧腑鎻愪緵鐩磋傜殑鏃ュ織鏌ラ槄銆傚悓鏃讹紝鍍廘ogwatch杩欐牱鐨勫懡浠よ屽伐鍏凤紝杩樿兘鐢熸垚鏃ュ織鎶ュ憡锛岀畝鍖栫＄悊娴佺▼銆

棰濆栬祫婧愶細瀛︿範涔嬫梾鐨勫姞閫熷櫒

瀵逛簬鎯宠佹繁鍏ュ︿範Linux鐨勬湅鍙嬩滑锛屾垜绮惧績鏁寸悊浜嗕赴瀵岀殑瀛︿範璧勬簮锛屽寘鎷瑙嗛戞暀绋嬨佺數瀛愪功鍜孭PT锛岀偣鍑婚摼鎺ュ嵆鍙鍏嶈垂鑾峰彇锛屽姪鍔涙偍鐨勫︿範涔嬫梾锛10T瀛︿範璧勬枡锛屾棤浠讳綍闅愯棌鏉′欢锛屾湡寰呮偍鐨勫彂鎺樺拰鍒嗕韩銆

鎸佺画鏀鎸佷笌浜掑姩

鎰熻阿鎮ㄥ规垜鐨勫叧娉锛佸湪寮婧愪箣瀹讹紝鎮ㄥ皢鎵惧埌鏇村氬疄鐢ㄧ殑Linux鐭ヨ瘑銆傚傛灉鏈鏂囧规偍鏈夊府鍔╋紝璇风粰浜堢偣璧炲拰鏀惰棌锛屾偍鐨勬敮鎸佹槸鎴戝垱浣滅殑鍔ㄥ姏婧愭硥銆傛湡寰呮偍鐨勫弽棣堝拰鍒嗕韩锛岃╂垜浠鍏卞悓鎴愰暱锛

『陆』 Linux鏃ュ織鏌ヨ㈠懡浠linux鏃ュ織鏌ヨ

linux鎬庝箞鏌ョ湅log鏃ュ織锛

linux瀹炴椂鏌ョ湅log鏃ュ織鍛戒护鐨勬柟娉曪細鏌ョ湅涓涓鏂囦欢鎴栬呬竴涓鏃ュ織鏂囦欢锛岄氬父鐢ㄣ恗orexx.log銆戞垨鑰卌at鏌ョ湅锛岄渶瑕佸疄鏃剁殑鏌ョ湅杩愯屾棩蹇楋紝浣跨敤tail鍛戒护鏉ユ煡鐪嬶紝浠ｇ爜涓恒恡ail-fxx.log銆戙

linux涓嬫煡鎵炬棩蹇楃殑鎶宸э紵

鍏堝繀椤讳簡瑙ｄ袱涓鏈鍩烘湰鐨勫懡浠:

tail-n10test.log鏌ヨ㈡棩蹇楀熬閮ㄦ渶鍚10琛岀殑鏃ュ織;

tail-n+10test.log鏌ヨ10琛屼箣鍚庣殑鎵鏈夋棩蹇;

head-n10test.log鏌ヨ㈡棩蹇楁枃浠朵腑鐨勫ご10琛屾棩蹇;

head-n-10test.log鏌ヨ㈡棩蹇楁枃浠堕櫎浜嗘渶鍚10琛岀殑鍏朵粬鎵鏈夋棩蹇;

鍦烘櫙1:鎸夎屽彿鏌ョ湅---杩囨护鍑哄叧閿瀛楅檮杩戠殑鏃ュ織

鍥犱负閫氬父鏃跺欐垜浠鐢╣rep鎷垮埌鐨勬棩蹇楀緢灏,鎴戜滑闇瑕佹煡鐪嬮檮杩戠殑鏃ュ織.鎴戞槸杩欐牱鍋氱殑,棣栧厛:cat-ntest.log|grep"鍦板舰"寰楀埌鍏抽敭鏃ュ織鐨勮屽彿銆

3>寰楀埌"鍦板舰"鍏抽敭瀛楁墍鍦ㄧ殑琛屽彿鏄102琛.姝ゆ椂濡傛灉鎴戞兂鏌ョ湅杩欎釜鍏抽敭瀛楀墠10琛屽拰鍚10琛岀殑鏃ュ織:

cat-ntest.log|tail-n+92|head-n20

tail-n+92琛ㄧず鏌ヨ92琛屼箣鍚庣殑鏃ュ織

head-n20鍒欒〃绀哄湪鍓嶉潰鐨勬煡璇㈢粨鏋滈噷鍐嶆煡鍓20鏉¤板綍

鍦烘櫙2:閭ｄ箞鎸夋棩鏈熸庝箞鏌ュ憿?閫氬父鎴戜滑闈炲父闇瑕佹煡鎵炬寚瀹氭椂闂寸鐨勬棩蹇

sed-n'/2014-12-1716:17:20/,/2014-12-1716:17:36/p'test.log鐗瑰埆璇存槑:涓婇潰鐨勪袱涓鏃ユ湡蹇呴』鏄鏃ュ織涓鎵撳嵃鍑烘潵鐨勬棩蹇,鍚﹀垯鏃犳晥.銆傚叧浜庢棩鏈熸墦鍗,鍙浠ュ厛grep񟭎-12-1716:17:20'test.log鏉ョ‘瀹氭棩蹇椾腑鏄鍚︽湁璇ユ椂闂寸偣,浠ョ‘淇濈4姝ュ彲浠ユ嬁鍒版棩蹇

杩欎釜鏍规嵁鏃堕棿娈垫煡璇㈡棩蹇楁槸闈炲父鏈夌敤鐨勫懡浠.

濡傛灉鎴戜滑鏌ユ壘鐨勬棩蹇楀緢澶,鎵撳嵃鍦ㄥ睆骞曚笂涓嶆柟渚挎煡鐪,鏈変袱涓鏂规硶:

(1)浣跨敤more鍜宭ess鍛戒护,濡:cat-ntest.log|grep"鍦板舰"|more杩欐牱灏卞垎椤垫墦鍗颁簡,閫氳繃鐐瑰嚮绌烘牸閿缈婚〉

(2)浣跨敤>xxx.txt灏嗗叾淇濆瓨鍒版枃浠朵腑,鍒版椂鍙浠ユ媺涓嬭繖涓鏂囦欢鍒嗘瀽.濡:

cat-ntest.log|grep"鍦板舰">xxx.txt

linux鎬庢牱瀹炴椂鏌ョ湅鏃ュ織鏂囦欢锛

瑕佺湅浣犳兂鏌ヤ粈涔堟牱鐨勬棩蹇椾簡锛宭inux涓嬮潰鏃ュ織鏈夊緢澶氾紝鏈夌郴缁熺殑锛屾湁搴旂敤鐨勩傚傛灉鏄绯荤粺涓嬮潰鐨勬棩蹇楋紝涓鑸閮藉湪/var/log涓嬮潰銆

濡傛灉鏄鐪嬪簲鐢ㄦ棩蹇楋紝閭ｅ氨鍒板簲鐢ㄦ棩蹇楁墍鍦ㄧ洰褰曞幓鐪嬶紝杩欎釜瑕佺湅鍏蜂綋搴旂敤锛屾瘡涓鐨勮矾寰勯兘涓嶄竴鏍枫

涓鑸鏌ョ湅鏃ュ織锛屽彲浠ョ湅闈欐佹棩蹇楋紝涔熷氨鏄鐢'vi鏃ュ織鏂囦欢鍚'锛屾垨鑰呯敤more涔嬬被鐨勫伐鍏锋煡鐪嬨

杩樺彲浠ョ湅鍔ㄦ佹棩蹇楋紝鐢'tail-f鏃ュ織鏂囦欢鍚'锛屽彲浠ュ疄鏃舵煡鐪嬫墦鍛戒护涔嬪悗浜х敓鐨勬墍鏈夋柊鏃ュ織銆

linux搴旂敤涓绘満濡備綍鏌ョ湅閿欒鏃ュ織锛

浠ヤ笅鏄濡備綍鏌ョ湅閿欒鏃ュ織鏂规硶锛屼粎渚涘弬鑰冦

1銆佽繛鎺ヤ笂鐩稿簲鐨刲inux涓绘満锛岃繘鍏ュ埌绛夊緟杈撳叆shell鎸囦护鐨刲inux鍛戒护琛岀姸鎬佷笅銆

2銆佸叾娆★紝鍦╨inux鍛戒护琛屼腑杈撳叆锛歵ail/var/log/messages銆

3銆佹渶鍚庯紝鎸変笅鍥炶溅閿鎵ц宻hell鎸囦护锛屾ゆ椂浼氱湅鍒發inux鐨勯敊璇鏃ュ織琚鎵撳嵃鍑恒