Содержание
Файл журнала, как вы уже догадались, предоставляет временную шкалу событий для операционной системы, приложений и сервисов Linux.
Файлы хранятся в виде простого текста, чтобы их было легко читать. В этом руководстве представлен обзор того, где можно найти файлы журналов, выделены несколько журналов ключей и объяснено, как их читать.
Где вы можете найти файлы журналов Linux
Файлы журнала Linux обычно хранятся в папке / var / logs.
Папка будет содержать большое количество файлов, и вы можете получить информацию для каждого приложения.
Например, когда Ls Команда запускается в папке с образцами / var / logs. Вот несколько доступных журналов.
- kern.log
- auth.log
- bootstrap.log
- alternatives.log
- самба
- чашки
- LightDM
Последние три в этом списке являются папками, но в них есть файлы журналов.
Поскольку файлы журнала представлены в текстовом формате, вы можете прочитать их, введя следующую команду:
нано
Приведенная выше команда открывает файл журнала в редакторе nano. Если файл журнала небольшой по размеру, тогда можно открыть файл журнала в редакторе, но если файл журнала большой, вам, вероятно, будет интересно только прочитать конец журнала.
Команда tail позволяет вам читать последние несколько строк в файле следующим образом:
хвост
Вы можете указать, сколько строк показывать с -N переключиться следующим образом:
хвост-н
Конечно, если вы хотите увидеть начало файла, вы можете использовать голова команда.
Ключевые системные журналы
Следующие файлы журналов являются основными для Linux.
- Журнал авторизации
- Log Daemon
- Журнал отладки
- Журнал ядра
- Системный журнал
Журнал авторизации (auth.log) отслеживает использование систем авторизации, которые контролируют доступ пользователей.
Журнал демона (daemon.log) отслеживает службы, которые работают в фоновом режиме и выполняют важные задачи. Демоны, как правило, не имеют графического вывода.
Журнал отладки предоставляет выходные данные отладки для приложений.
Журнал ядра содержит подробную информацию о ядре Linux.
Системный журнал содержит большую часть информации о вашей системе, и если ваше приложение не имеет собственного журнала, записи, вероятно, будут в этом файле журнала.
Анализ содержимого файла журнала
На изображении выше показано содержимое последних 50 файлов в моем системном журнале (syslog).
Каждая строка в журнале содержит следующую информацию:
- Свидание
- Hostname
- Применение / Услуги
- Сообщение
Например, одна строка в файле системного журнала выглядит следующим образом:
янв 20 12:28:56 gary-virtualbox systemd [1]: запуск планировщика кубков
Это говорит о том, что служба планирования кубков была запущена в 12.28 20 января.
Вращающиеся журналы
Файлы журналов периодически меняются, поэтому они не становятся слишком большими.
Утилита ротации журналов отвечает за ротацию файлов журналов. Вы можете сказать, когда журнал был повернут, потому что за ним последует число, такое как auth.log.1, auth.log.2.
Можно изменить частоту вращения журнала, отредактировав файл /etc/logrotate.conf.
Ниже показан пример из моего файла logrotate.conf:
# вращать файлы журналов
еженедельно # хранить файлы журнала за 4 неделиrotatecreate новые файлы журнала после вращения
Как вы можете видеть, эти файлы журналов чередуются каждую неделю, и в любой момент времени хранятся файлы журналов на четыре недели.
Когда файл журнала вращается, на его месте создается новый.
Каждое приложение может иметь свою собственную политику ротации. Это, очевидно, полезно, поскольку файл системного журнала будет расти быстрее, чем файл журнала чашек.
Правила ротации хранятся в /etc/logrotate.d. Каждое приложение, для которого требуется собственная политика ротации, будет иметь файл конфигурации в этой папке.
Например, инструмент apt имеет файл в папке logrotate.d следующим образом:
/var/log/apt/history.log {
повернуть 12
ежемесячно
компресс
missingok
notifempty
}По сути, этот журнал говорит вам следующее. Журнал будет хранить 12 недель файлов журналов и вращаться каждый месяц (по одному в месяц). Файл журнала будет сжат. Если в журнал не записано ни одного сообщения (т. Е. Оно пустое), это допустимо. Журнал не будет вращаться, если он пуст.
Чтобы изменить политику файла, отредактируйте файл с необходимыми настройками, а затем выполните следующую команду:
logrotate -f
