首先，我們將描述有關(guān) Linux 日志是什么，到哪兒去找它們，以及它們是如何創(chuàng)建的基礎(chǔ)知識(shí)

Linux 系統(tǒng)日志
許多有價(jià)值的日志文件都是由 Linux 自動(dòng)地為你創(chuàng)建的。你可以在 /var/log 目錄中找到它們。下面是在一個(gè)典型的 Ubuntu 系統(tǒng)中這個(gè)目錄的樣子：

一些最為重要的 Linux 系統(tǒng)日志包括：

/var/log/syslog 或 /var/log/messages 存儲(chǔ)所有的全局系統(tǒng)活動(dòng)數(shù)據(jù)，包括開(kāi)機(jī)信息。基于 Debian 的系統(tǒng)如 Ubuntu 在 /var/log/syslog 中存儲(chǔ)它們，而基于 RedHat 的系統(tǒng)如 RHEL 或 CentOS 則在 /var/log/messages 中存儲(chǔ)它們。
/var/log/auth.log 或 /var/log/secure 存儲(chǔ)來(lái)自可插拔認(rèn)證模塊(PAM)的日志，包括成功的登錄，失敗的登錄嘗試和認(rèn)證方式。Ubuntu 和 Debian 在 /var/log/auth.log 中存儲(chǔ)認(rèn)證信息，而 RedHat 和 CentOS 則在 /var/log/secure 中存儲(chǔ)該信息。
/var/log/kern 存儲(chǔ)內(nèi)核的錯(cuò)誤和警告數(shù)據(jù)，這對(duì)于排除與定制內(nèi)核相關(guān)的故障尤為實(shí)用。
/var/log/cron 存儲(chǔ)有關(guān) cron 作業(yè)的信息。使用這個(gè)數(shù)據(jù)來(lái)確保你的 cron 作業(yè)正成功地運(yùn)行著。
Digital Ocean 有一個(gè)關(guān)于這些文件的完整教程，介紹了 rsyslog 如何在常見(jiàn)的發(fā)行版本如 RedHat 和 CentOS 中創(chuàng)建它們。

應(yīng)用程序也會(huì)在這個(gè)目錄中寫(xiě)入日志文件。例如像 Apache，Nginx，MySQL 等常見(jiàn)的服務(wù)器程序可以在這個(gè)目錄中寫(xiě)入日志文件。其中一些日志文件由應(yīng)用程序自己創(chuàng)建，其他的則通過(guò) syslog (具體見(jiàn)下文)來(lái)創(chuàng)建。

什么是 Syslog？
Linux 系統(tǒng)日志文件是如何創(chuàng)建的呢？答案是通過(guò) syslog 守護(hù)程序，它在 syslog 套接字 /dev/log 上監(jiān)聽(tīng)日志信息，然后將它們寫(xiě)入適當(dāng)?shù)娜罩疚募小?/p>

單詞“syslog” 代表幾個(gè)意思，并經(jīng)常被用來(lái)簡(jiǎn)稱如下的幾個(gè)名稱之一：

Syslog 守護(hù)進(jìn)程 — 一個(gè)用來(lái)接收、處理和發(fā)送 syslog 信息的程序。它可以遠(yuǎn)程發(fā)送 syslog 到一個(gè)集中式的服務(wù)器或?qū)懭氲揭粋€(gè)本地文件。常見(jiàn)的例子包括 rsyslogd 和 syslog-ng。在這種使用方式中，人們常說(shuō)“發(fā)送到 syslog”。
Syslog 協(xié)議 — 一個(gè)指定日志如何通過(guò)網(wǎng)絡(luò)來(lái)傳送的傳輸協(xié)議和一個(gè)針對(duì) syslog 信息(具體見(jiàn)下文) 的數(shù)據(jù)格式的定義。它在 RFC-5424 中被正式定義。對(duì)于文本日志，標(biāo)準(zhǔn)的端口是 514，對(duì)于加密日志，端口是 6514。在這種使用方式中，人們常說(shuō)“通過(guò) syslog 傳送”。
Syslog 信息 — syslog 格式的日志信息或事件，它包括一個(gè)帶有幾個(gè)標(biāo)準(zhǔn)字段的消息頭。在這種使用方式中，人們常說(shuō)“發(fā)送 syslog”。
Syslog 信息或事件包括一個(gè)帶有幾個(gè)標(biāo)準(zhǔn)字段的消息頭，可以使分析和路由更方便。它們包括時(shí)間戳、應(yīng)用程序的名稱、在系統(tǒng)中信息來(lái)源的分類或位置、以及事件的優(yōu)先級(jí)。

下面展示的是一個(gè)包含 syslog 消息頭的日志信息，它來(lái)自于控制著到該系統(tǒng)的遠(yuǎn)程登錄的 sshd 守護(hù)進(jìn)程，這個(gè)信息描述的是一次失敗的登錄嘗試：

<34>1 2003-10-11T22:14:15.003Z server1.com sshd - - pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2
Syslog 格式和字段
每條 syslog 信息包含一個(gè)帶有字段的信息頭，這些字段是結(jié)構(gòu)化的數(shù)據(jù)，使得分析和路由事件更加容易。下面是我們使用的用來(lái)產(chǎn)生上面的 syslog 例子的格式，你可以將每個(gè)值匹配到一個(gè)特定的字段的名稱上。

下面，你將看到一些在查找或排錯(cuò)時(shí)最常使用的 syslog 字段：

時(shí)間戳
時(shí)間戳 (上面的例子為 2003-10-11T22:14:15.003Z) 暗示了在系統(tǒng)中發(fā)送該信息的時(shí)間和日期。這個(gè)時(shí)間在另一系統(tǒng)上接收該信息時(shí)可能會(huì)有所不同。上面例子中的時(shí)間戳可以分解為：

2003-10-11 年，月，日。
T 為時(shí)間戳的必需元素，它將日期和時(shí)間分隔開(kāi)。
22:14:15.003 是 24 小時(shí)制的時(shí)間，包括進(jìn)入下一秒的毫秒數(shù)(003)。
Z 是一個(gè)可選元素，指的是 UTC 時(shí)間，除了 Z，這個(gè)例子還可以包括一個(gè)偏移量，例如 -08:00，這意味著時(shí)間從 UTC 偏移 8 小時(shí)，即 PST 時(shí)間。
主機(jī)名
主機(jī)名 字段(在上面的例子中對(duì)應(yīng) server1.com) 指的是主機(jī)的名稱或發(fā)送信息的系統(tǒng).

應(yīng)用名
應(yīng)用名 字段(在上面的例子中對(duì)應(yīng) sshd:auth) 指的是發(fā)送信息的程序的名稱.

優(yōu)先級(jí)
優(yōu)先級(jí)字段或縮寫(xiě)為 pri (在上面的例子中對(duì)應(yīng) ) 告訴我們這個(gè)事件有多緊急或多嚴(yán)峻。它由兩個(gè)數(shù)字字段組成：設(shè)備字段和緊急性字段。緊急性字段從代表 debug 類事件的數(shù)字 7 一直到代表緊急事件的數(shù)字 0 。設(shè)備字段描述了哪個(gè)進(jìn)程創(chuàng)建了該事件。它從代表內(nèi)核信息的數(shù)字 0 到代表本地應(yīng)用使用的 23 。

Pri 有兩種輸出方式。第一種是以一個(gè)單獨(dú)的數(shù)字表示，可以這樣計(jì)算：先用設(shè)備字段的值乘以 8，再加上緊急性字段的值：(設(shè)備字段)(8) + (緊急性字段)。第二種是 pri 文本，將以“設(shè)備字段.緊急性字段” 的字符串格式輸出。后一種格式更方便閱讀和搜索，但占據(jù)更多的存儲(chǔ)空間。

分析 Linux 日志

日志中有大量的信息需要你處理，盡管有時(shí)候想要提取并非想象中的容易。在這篇文章中我們會(huì)介紹一些你現(xiàn)在就能做的基本日志分析例子（只需要搜索即可）。我們還將涉及一些更高級(jí)的分析，但這些需要你前期努力做出適當(dāng)?shù)脑O(shè)置，后期就能節(jié)省很多時(shí)間。對(duì)數(shù)據(jù)進(jìn)行高級(jí)分析的例子包括生成匯總計(jì)數(shù)、對(duì)有效值進(jìn)行過(guò)濾，等等。

我們首先會(huì)向你展示如何在命令行中使用多個(gè)不同的工具，然后展示了一個(gè)日志管理工具如何能自動(dòng)完成大部分繁重工作從而使得日志分析變得簡(jiǎn)單。

用 Grep 搜索
搜索文本是查找信息最基本的方式。搜索文本最常用的工具是 grep。這個(gè)命令行工具在大部分 Linux 發(fā)行版中都有，它允許你用正則表達(dá)式搜索日志。正則表達(dá)式是一種用特殊的語(yǔ)言寫(xiě)的、能識(shí)別匹配文本的模式。最簡(jiǎn)單的模式就是用引號(hào)把你想要查找的字符串括起來(lái)。

正則表達(dá)式
這是一個(gè)在 Ubuntu 系統(tǒng)的認(rèn)證日志中查找 “user hoover” 的例子：

Accepted password for hoover from 10.0.2.2 port 4792 ssh2
pam_unix(sshd:session): session opened for user hoover by (uid=0)
pam_unix(sshd:session): session closed for user hoover
構(gòu)建精確的正則表達(dá)式可能很難。例如，如果我們想要搜索一個(gè)類似端口 “4792” 的數(shù)字，它可能也會(huì)匹配時(shí)間戳、URL 以及其它不需要的數(shù)據(jù)。Ubuntu 中下面的例子，它匹配了一個(gè)我們不想要的 Apache 日志。


Accepted password for hoover from 10.0.2.2 port 4792 ssh2
74.91.21.46 - - [31/Mar/2015:19:44:32 +0000] "GET /scripts/samples/search?q=4972 HTTP/1.0" 404 545 "-" "-”

環(huán)繞搜索
另一個(gè)有用的小技巧是你可以用 grep 做環(huán)繞搜索。這會(huì)向你展示一個(gè)匹配前面或后面幾行是什么。它能幫助你調(diào)試導(dǎo)致錯(cuò)誤或問(wèn)題的東西。B 選項(xiàng)展示前面幾行，A 選項(xiàng)展示后面幾行。舉個(gè)例子，我們知道當(dāng)一個(gè)人以管理員員身份登錄失敗時(shí)，同時(shí)他們的 IP 也沒(méi)有反向解析，也就意味著他們可能沒(méi)有有效的域名。這非?？梢桑?br />

Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: reverse mapping checking getaddrinfo for 216-19-2-8.commspeed.net [216.19.2.8] failed - POSSIBLE BREAK-IN ATTEMPT!
Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]
Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Invalid user admin from 216.19.2.8
Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: input_userauth_request: invalid user admin [preauth]
Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]
Tail
你也可以把 grep 和 tail 結(jié)合使用來(lái)獲取一個(gè)文件的最后幾行，或者跟蹤日志并實(shí)時(shí)打印。這在你做交互式更改的時(shí)候非常有用，例如啟動(dòng)服務(wù)器或者測(cè)試代碼更改。


Apr 30 19:49:48 ip-172-31-11-241 sshd[6512]: Invalid user ubnt from 219.140.64.136
Apr 30 19:49:49 ip-172-31-11-241 sshd[6514]: Invalid user admin from 219.140.64.136
關(guān)于 grep 和正則表達(dá)式的詳細(xì)介紹并不在本指南的范圍，但 Ryan’s Tutorials 有更深入的介紹。

日志管理系統(tǒng)有更高的性能和更強(qiáng)大的搜索能力。它們通常會(huì)索引數(shù)據(jù)并進(jìn)行并行查詢，因此你可以很快的在幾秒內(nèi)就能搜索 GB 或 TB 的日志。相比之下，grep 就需要幾分鐘，在極端情況下可能甚至幾小時(shí)。日志管理系統(tǒng)也使用類似 Lucene 的查詢語(yǔ)言，它提供更簡(jiǎn)單的語(yǔ)法來(lái)檢索數(shù)字、域以及其它。

用 Cut、 AWK、 和 Grok 解析

Linux 提供了多個(gè)命令行工具用于文本解析和分析。當(dāng)你想要快速解析少量數(shù)據(jù)時(shí)非常有用，但處理大量數(shù)據(jù)時(shí)可能需要很長(zhǎng)時(shí)間。

Cut
cut 命令允許你從有分隔符的日志解析字段。分隔符是指能分開(kāi)字段或鍵值對(duì)的等號(hào)或逗號(hào)等。

假設(shè)我們想從下面的日志中解析出用戶：

我們可以像下面這樣用 cut 命令獲取用等號(hào)分割后的第八個(gè)字段的文本。這是一個(gè) Ubuntu 系統(tǒng)上的例子：


root
hoover
root
nagios
nagios
AWK
另外，你也可以使用 awk，它能提供更強(qiáng)大的解析字段功能。它提供了一個(gè)腳本語(yǔ)言，你可以過(guò)濾出幾乎任何不相干的東西。

例如，假設(shè)在 Ubuntu 系統(tǒng)中我們有下面的一行日志，我們想要提取登錄失敗的用戶名稱：

你可以像下面這樣使用 awk 命令。首先，用一個(gè)正則表達(dá)式 /sshd.*invalid user/ 來(lái)匹配 sshd invalid user 行。然后用 { print $9 } 根據(jù)默認(rèn)的分隔符空格打印第九個(gè)字段。這樣就輸出了用戶名。


guest
admin
info
test
ubnt
你可以在 Awk 用戶指南 中閱讀更多關(guān)于如何使用正則表達(dá)式和輸出字段的信息。

日志管理系統(tǒng)
日志管理系統(tǒng)使得解析變得更加簡(jiǎn)單，使用戶能快速的分析很多的日志文件。他們能自動(dòng)解析標(biāo)準(zhǔn)的日志格式，比如常見(jiàn)的 Linux 日志和 Web 服務(wù)器日志。這能節(jié)省很多時(shí)間，因?yàn)楫?dāng)處理系統(tǒng)問(wèn)題的時(shí)候你不需要考慮自己寫(xiě)解析邏輯。

下面是一個(gè) sshd 日志消息的例子，解析出了每個(gè) remoteHost 和 user。這是 Loggly 中的一張截圖，它是一個(gè)基于云的日志管理服務(wù)。

你也可以對(duì)非標(biāo)準(zhǔn)格式自定義解析。一個(gè)常用的工具是 Grok，它用一個(gè)常見(jiàn)正則表達(dá)式庫(kù)，可以解析原始文本為結(jié)構(gòu)化 JSON。下面是一個(gè) Grok 在 Logstash 中解析內(nèi)核日志文件的事例配置：

下圖是 Grok 解析后輸出的結(jié)果：

用 Rsyslog 和 AWK 過(guò)濾
過(guò)濾使得你能檢索一個(gè)特定的字段值而不是進(jìn)行全文檢索。這使你的日志分析更加準(zhǔn)確，因?yàn)樗鼤?huì)忽略來(lái)自其它部分日志信息不需要的匹配。為了對(duì)一個(gè)字段值進(jìn)行搜索，你首先需要解析日志或者至少有對(duì)事件結(jié)構(gòu)進(jìn)行檢索的方式。

如何對(duì)應(yīng)用進(jìn)行過(guò)濾
通常，你可能只想看一個(gè)應(yīng)用的日志。如果你的應(yīng)用把記錄都保存到一個(gè)文件中就會(huì)很容易。如果你需要在一個(gè)聚集或集中式日志中過(guò)濾一個(gè)應(yīng)用就會(huì)比較復(fù)雜。下面有幾種方法來(lái)實(shí)現(xiàn)：

用 rsyslog 守護(hù)進(jìn)程解析和過(guò)濾日志。下面的例子將 sshd 應(yīng)用的日志寫(xiě)入一個(gè)名為 sshd-message 的文件，然后丟棄事件以便它不會(huì)在其它地方重復(fù)出現(xiàn)。你可以將它添加到你的 rsyslog.conf 文件中測(cè)試這個(gè)例子。

用類似 awk 的命令行工具提取特定字段的值，例如 sshd 用戶名。下面是 Ubuntu 系統(tǒng)中的一個(gè)例子。


guest
admin
info
test
ubnt
用日志管理系統(tǒng)自動(dòng)解析日志，然后在需要的應(yīng)用名稱上點(diǎn)擊過(guò)濾。下面是在 Loggly 日志管理服務(wù)中提取 syslog 域的截圖。我們對(duì)應(yīng)用名稱 “sshd” 進(jìn)行過(guò)濾，如維恩圖圖標(biāo)所示。

如何過(guò)濾錯(cuò)誤
一個(gè)人最希望看到日志中的錯(cuò)誤。不幸的是，默認(rèn)的 syslog 配置不直接輸出錯(cuò)誤的嚴(yán)重性，也就使得難以過(guò)濾它們。

這里有兩個(gè)解決該問(wèn)題的方法。首先，你可以修改你的 rsyslog 配置，在日志文件中輸出錯(cuò)誤的嚴(yán)重性，使得便于查看和檢索。在你的 rsyslog 配置中你可以用 pri-text 添加一個(gè) 模板，像下面這樣：

這個(gè)例子會(huì)按照下面的格式輸出。你可以看到該信息中指示錯(cuò)誤的 err。


你可以用 awk 或者 grep 檢索錯(cuò)誤信息。在 Ubuntu 中，對(duì)這個(gè)例子，我們可以用一些語(yǔ)法特征，例如 . 和 >，它們只會(huì)匹配這個(gè)域。


你的第二個(gè)選擇是使用日志管理系統(tǒng)。好的日志管理系統(tǒng)能自動(dòng)解析 syslog 消息并抽取錯(cuò)誤域。它們也允許你用簡(jiǎn)單的點(diǎn)擊過(guò)濾日志消息中的特定錯(cuò)誤。

下面是 Loggly 中一個(gè)截圖，顯示了高亮錯(cuò)誤嚴(yán)重性的 syslog 域，表示我們正在過(guò)濾錯(cuò)誤：

國(guó)外服務(wù)器租用

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。