Файл журнала, как вы, возможно, уже догадались, обеспечивает временную шкалу событий для операционной системы, приложений и служб Linux.
Файлы хранятся в виде простого текста, чтобы их было легко читать. В этом руководстве представлен обзор того, где искать файлы журнала, выделяется несколько ключевых журналов и объясняется, как их читать.
Где вы можете найти файлы журнала Linux
Файлы журнала Linux обычно хранятся в папке / var / logs.
Папка будет содержать большое количество файлов, и вы можете получить информацию для каждого приложения.
Например, когда Ls команда запускается в папке sample / var / logs, вот несколько доступных журналов.
- kern.log
- auth.log
- bootstrap.log
- alternatives.log
- самба
- чашки
- LightDM
Последние три в этом списке - это папки, но у них есть файлы журналов в папках.
Поскольку файлы журналов находятся в текстовом формате, вы можете прочитать их, введя следующую команду:
нано Вышеупомянутая команда открывает файл журнала в редакторе nano. Если файл журнала мал по размеру, нормально открыть файл журнала в редакторе, но если файл журнала большой, вам, вероятно, интересно только чтение хвоста журнала. Команда tail позволяет читать последние несколько строк в файле следующим образом: хвост Вы можете указать, сколько строк будет показано с помощью -n переключитесь следующим образом: хвост -n Конечно, если вы хотите увидеть начало файла, вы можете использовать голова команда. Следующие файлы журналов являются основными, которые нужно искать в Linux. Журнал авторизации (auth.log) отслеживает использование систем авторизации, которые контролируют доступ пользователей. Журнал демона (daemon.log) отслеживает службы, выполняемые в фоновом режиме, которые выполняют важные задачи. Демоны не имеют графического выхода. Журнал отладки предоставляет отладочную информацию для приложений. В журнале ядра содержится информация о ядре Linux. В системном журнале содержится наибольшая информация о вашей системе, и если ваше приложение не имеет собственного журнала, записи, вероятно, будут в этом файле журнала. На приведенном выше изображении показано содержимое последних 50 файлов в файле системного журнала (syslog). Каждая строка в журнале содержит следующую информацию: Например, одна строка в файле syslog выглядит следующим образом: jan 20 12:28:56 gary-virtualbox systemd 1: запуск планировщика чашек Это говорит о том, что служба часового планирования была начата в 12.28 20 января. Файлы журналов периодически вращаются, так что они не становятся слишком большими. Утилита log rotate отвечает за вращение файлов журналов. Вы можете указать, когда журнал был повернут, потому что за ним последует такое число, как auth.log.1 , auth.log.2 . Можно изменить частоту вращения журнала, отредактировав файл /etc/logrotate.conf. Ниже показан образец из моего файла logrotate.conf: Файлы журнала #rotateеженедельно # хранить файлы журналов на 4 недели вращаться создавать новые файлы журналов после поворота Создайте Как вы можете видеть, эти файлы журналов вращаются каждую неделю, и файлы журналов на четыре недели хранятся в любой момент времени. Когда файл журнала вращается, новый создается на своем месте. Каждое приложение может иметь собственную политику ротации. Это, очевидно, полезно, потому что файл syslog будет расти быстрее, чем файл журнала чашек. Политики вращения хранятся в файле /etc/logrotate.d. Каждое приложение, которое требует своей собственной политики ротации, будет иметь файл конфигурации в этой папке. Например, инструмент apt имеет файл в папке logrotate.d следующим образом: /var/log/apt/history.log {вращать 12ежемесячнокомпрессmissingoknotifempty} В основном, этот журнал сообщает вам следующее. Журнал будет хранить файлы журналов на 12 недель и каждый месяц (один раз в месяц). Файл журнала будет сжат. Если сообщения не записываются в журнал (т. Е. Он пуст), это допустимо. Журнал не будет вращаться, если он пуст. Чтобы изменить политику файла, отредактируйте файл с требуемыми параметрами и выполните следующую команду: logrotate -f Ключевые системные журналы
Анализ содержимого файла журнала
Вращающиеся журналы
