建站
咨詢
售后
建站咨詢
新聞中心
4-9 Linux 中的日志分析
日志:系統(tǒng)、軟件 和 用戶操作交互信息的記錄文件。用于系統(tǒng)審核,日常故障快速定位和排錯。
懷仁網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián),懷仁網(wǎng)站設(shè)計(jì)制作,有大型網(wǎng)站制作公司豐富經(jīng)驗(yàn)。已為懷仁1000+提供企業(yè)網(wǎng)站建設(shè)服務(wù)。企業(yè)網(wǎng)站搭建\成都外貿(mào)網(wǎng)站建設(shè)要多少錢,請找那個售后服務(wù)好的懷仁做網(wǎng)站的公司定做!
日志文件保存在 /var/log 和 /var/run 目錄下。在 RedHat 7 中,系統(tǒng)日志消息由兩個服務(wù)負(fù)責(zé)處理,它們是 systemd-journald 和 rsyslogd。
日志的保存時間系統(tǒng)默認(rèn)是4周,可以通過 cat /etc/logrotate.conf 里面的一項(xiàng)參數(shù)查到。rotate 可以修改。
主要日志文件介紹:
/var/log/messages:系統(tǒng)日志,主要記錄內(nèi)核和公共消息。
/var/log/cron:計(jì)劃執(zhí)行任務(wù)日志。
/var/log/dmesg:系統(tǒng)引導(dǎo)日志。
/var/log/maillog:郵件日志。
/var/log/lastlog:用戶登錄日志。(用 lastlog 命令)
/var/log/boot.log:系統(tǒng)啟動日志。
/var/log/secure:安全和身份驗(yàn)證日志 。
/var/log/wtmp:記錄所有用戶登錄的詳細(xì)信息。(用 last 命令)
/var/log/btmp:記錄失敗的登錄記錄(用 lastb 命令)
/var/run/utmp:用戶登錄、注銷及系統(tǒng)開、關(guān)等事件。(用 w / who 命令)
(wtmp、btmp 和?utmp 是二進(jìn)制文件,不能用cat、vi、tail、more這些命令打開查看)
1、/var/log/messages:系統(tǒng)日志,主要記錄內(nèi)核和公共消息。
1)、messages 信息項(xiàng)包括:事件發(fā)生的日期和時間、主機(jī),終端名、進(jìn)程 和 事件日志。
2)、紅色下劃線:systemctl restart sshd 重啟 sshd 服務(wù)。
黃色下劃線:tail /var/log/messages 查看 messages 日志。
藍(lán)色方框:messages 日志已經(jīng)可以查到重啟 sshd 服務(wù)的記錄。
綠色下劃線:每個動作都記錄得很清楚。暫停中(Stopping)、已暫停(Stopped)、啟動中(Starting) 和 已啟動(Started)
2、/var/log/cron:計(jì)劃執(zhí)行任務(wù)日志。
1)、cron 信息項(xiàng)包括:事件發(fā)生的日期和時間、主機(jī),終端名、進(jìn)程 和 事件日志。
2)、cron 保存的是計(jì)劃任務(wù)的日志,我們也可以通過特定輸出查看計(jì)劃進(jìn)程的一些規(guī)律。從中也可以梳理一下計(jì)劃任務(wù)的概念。好像?run-parts(/etc/cron.hourly) 進(jìn)程,基本都是從開機(jī)開始,整點(diǎn) 1 個小時就執(zhí)行一次。一次由兩個事件為一組,一條 starting 0anacron ,另一條?finished 0anacron。
輸入 grep run-parts'('/etc/cron.hourly')' 的時候,()括號需要用單引號引起來。?
CROND進(jìn)程,基本上也是從開機(jī)開始,整點(diǎn) 1 個小時就執(zhí)行一次。
run-parts(/etc/cron.daily) 進(jìn)程每天開機(jī)執(zhí)行一次。一次由四個事件為一組,四個事件里面有兩個事件是對應(yīng)關(guān)系。starting man-db.cron 對應(yīng)?finished man-db.cron,starting logrotate 對應(yīng) finished logrotate。
從 cron 日志知道系統(tǒng)的計(jì)劃任務(wù)什么時候觸發(fā),執(zhí)行了什么事件,產(chǎn)生了什么信息。?
3、/var/log/dmesg:系統(tǒng)引導(dǎo)日志,顯示硬件相關(guān)的信息。
head -20 dmesg | nl 列出開頭 20 行信息。
4、/var/log/maillog:郵件日志。
紅色下劃線:tail maillog 查看 maillog 后 10 行信息。
黃色下劃線:starting the Postfix mail system 啟動 Postfix 郵件系統(tǒng)。daemon started 守護(hù)進(jìn)程啟動完成。
maillog 記錄的信息都是和郵件有關(guān)。
5、/var/log/lastlog:記錄所有用戶登錄最后一次登錄本系統(tǒng)的時間信息。用 lastlog 讀取信息。lastlog 的幾列內(nèi)容:Username(用戶名)、Port(端口)、From(登錄IP)、Latest(最后登錄時間)。
系統(tǒng)用戶是調(diào)用系統(tǒng)當(dāng)中一些特殊服務(wù)的用戶,不能登錄系統(tǒng)(所以它們的登錄狀態(tài)都是顯示“**Never logged in**”從來沒有登錄)。能夠登錄系統(tǒng)的只有 root 和 新建的普通用戶。
6、/var/log/boot.log:系統(tǒng)啟動日志。
head /var/log/boot.log 列出頭 10 條系統(tǒng)啟動的信息(內(nèi)容較長,里面記錄了多次啟動的信息)。
通過 3 次的重啟,查看 boot.log 大小。每重啟一次文件的容量就會增大。也證明了每次啟動都會往 boot.log 這個文件寫信息。
7、/var/log/secure:安全和身份驗(yàn)證日志 。
tail secure 列出 secure 文件最后 10 行信息。通過 secure 的信息可以發(fā)現(xiàn)記錄的是安全相關(guān)的信息,記錄最多的是哪些用戶登錄服務(wù)器的相關(guān)日志。
黃色下劃線:Failed password for root —— root 的密碼錯誤。
紅色下劃線:Accepted password for root —— 密碼正確,root 用戶接受的密碼。
綠色下劃線:pam_unix(sshd:session): session opened for user root ?—— 為 root 用戶建立會話。
8、/var/log/wtmp:記錄所有用戶登錄的詳細(xì)信息。一個二進(jìn)制文件,不能用cat、vi、tail、more這些命令打開查看。用 last 命令查看。last 作用是顯示近期用戶或終端登錄的情況(包括:登錄、注銷及系統(tǒng)的啟動、停機(jī)的事件。因此隨著系統(tǒng)正常運(yùn)行時間的增加,該文件的大小也會越來越大,)
last -n 10 —— -n 跟一個數(shù)字,指定顯示最近登錄的數(shù)據(jù)。(或者 last -10 一樣效果)
顯示的內(nèi)容有六列:
第一列:用戶名。
第二列:終端位置。(pts/0 偽終端,SSH 或 telnet 等工具遠(yuǎn)程連接的用戶,tty0 直接連接到計(jì)算機(jī)或本地連接的用戶,后面的數(shù)字代表連接編號)。
第三列:登錄 IP 或 內(nèi)核。(如果是 0.0 或者 什么都沒有,意味著用戶通過本地終端連接,除了啟動活動,內(nèi)核版本會顯示在狀態(tài)中)。
第四列:開始時間。
第五列:結(jié)束時間。(still、login in 尚未推出,down 直到正常關(guān)機(jī),crash 直到強(qiáng)制關(guān)機(jī))。
第六列:持續(xù)時間。
9、/var/log/btmp:記錄失敗的登錄記錄,主要查看錯誤的登錄信息。一個二進(jìn)制文件,不能用cat、vi、tail、more這些命令打開查看。用 lastb?命令查看。
lastb -n 10 —— -n 跟一個數(shù)字,指定顯示最近登錄的數(shù)據(jù)。(或者 lastb -10 一樣效果)
顯示的內(nèi)容有六列:
第一列:用戶名。
第二列:終端位置。(連接失敗:notty)。
第三列:登錄 IP。
第四列:開始時間。
第五列:結(jié)束時間。
第六列:持續(xù)時間。
10、/var/run/utmp:用戶登錄、注銷及系統(tǒng)開、關(guān)等事件。一個二進(jìn)制文件,不能用cat、vi、tail、more這些命令打開查看。用?w / who 命令查看。
w 命令:查看登錄者的信息及行為。
第一行:系統(tǒng)當(dāng)前時間、系統(tǒng)沒有中斷持續(xù)性的運(yùn)行時間、當(dāng)前登錄用戶數(shù)、CPU在之前 1 分鐘、5分鐘、15分鐘的平均負(fù)載。
USER: 登錄用戶名。
TTY:登錄后系統(tǒng)分配的終端號。(tty:物理機(jī)本機(jī)終端、pts:遠(yuǎn)程終端)?
FROM:遠(yuǎn)程主機(jī)名 IP。(tty 物理機(jī)本機(jī)不顯示、pts 遠(yuǎn)程終端會顯示 IP)?
LOGIN@ :登錄時間。
IDLE:用戶閑置時間 。這是個計(jì)時器,用戶執(zhí)行任何操作,計(jì)時器就會被重置。(這里顯示的時間是距離上次命令操作后多久沒有進(jìn)行操作的閑置時間)
JCPU:執(zhí)行命令進(jìn)程所消耗的總時間。 終端連接的所有進(jìn)程占用時間,包括當(dāng)前正在運(yùn)行作業(yè)占用的時間。
PCPU:當(dāng)前進(jìn)程所消耗 CPU 的時間。?
WHAT:用戶正在運(yùn)行的進(jìn)程 或 命令。(-bash 進(jìn)程是終端進(jìn)程)
who 命令:顯示關(guān)于當(dāng)前在本地系統(tǒng)上的所有用戶信息。who 和 w 差不多,who 顯示的內(nèi)容更為簡潔。who 命令顯示以下內(nèi)容:登錄名、tty、登錄日期 和 時間。如果用戶是從遠(yuǎn)程終端登錄的,那么該終端的 IP 也會顯示出來。
11、whoami:顯示自己的登錄用戶。
linux查看日志命令
linux查看日志命令:
tail:
-n是顯示行號;相當(dāng)于nl命令;例子如下:
tail -100f test.log實(shí)時監(jiān)控100行日志。
tail -n 10 test.log查詢?nèi)罩疚膊孔詈?0行的日志。
tail -n +10 test.log查詢10行之后的所有日志。
head:
跟tail是相反的,tail是看后多少行日志;例子如下:
head -n 10 test.log查詢?nèi)罩疚募械念^10行日志。
head -n -10 test.log查詢?nèi)罩疚募俗詈?0行的其他所有日志。
cat:
tac是倒序查看,是cat單詞反寫;例子如下:
cat -n test.log |grep "debug"查詢關(guān)鍵字的日志。
命令功能:
tail用于顯示指定文件末尾內(nèi)容,不指定文件時,作為輸入信息進(jìn)行處理。常用于查看日志文件后多少行日志信息。
使用tail -f可以查看動態(tài)日志文件,tail -f filename可以把filename里最尾部的內(nèi)容顯示在屏幕上,并且不斷刷新,使你看到最新的文件內(nèi)容。
tail -n行數(shù)可以顯示指定行數(shù)信息。
Linux查看系統(tǒng)日志的一些常用命令
last
-a 把從何處登入系統(tǒng)的主機(jī)名稱或ip地址,顯示在最后一行。
-d 指定記錄文件。指定記錄文件。將IP地址轉(zhuǎn)換成主機(jī)名稱。
-f 記錄文件 指定記錄文件。
-n 顯示列數(shù)或-顯示列數(shù) 設(shè)置列出名單的顯示列數(shù)。
-R 不顯示登入系統(tǒng)的主機(jī)名稱或IP地址。
-x 顯示系統(tǒng)關(guān)機(jī),重新開機(jī),以及執(zhí)行等級的改變等信息
以下看所有的重啟、關(guān)機(jī)記錄
last | grep reboot
last | grep shutdown
history
列出所有的歷史記錄:
[zzs@Linux] # history
只列出最近10條記錄:
[zzs@linux] # history 10 (注,history和10中間有空格)
使用命令記錄號碼執(zhí)行命令,執(zhí)行歷史清單中的第99條命令
[zzs@linux] #!99 (!和99中間沒有空格)
重復(fù)執(zhí)行上一個命令
[zzs@linux] #!!
執(zhí)行最后一次以rpm開頭的'命令(!? ?代表的是字符串,這個String可以隨便輸,Shell會從最后一條歷史命令向前搜索,最先匹配的一條命令將會得到執(zhí)行。)
[zzs@linux] #!rpm
逐屏列出所有的歷史記錄:
[zzs@linux]# history | more
立即清空history當(dāng)前所有歷史命令的記錄
[zzs@linux] #history -c
cat, tail 和 watch
系統(tǒng)所有的日志都在 /var/log 下面自己看(具體用途可以自己查,附錄列出一些常用的日志)
cat /var/log/syslog 等
cat /var/log/*.log
tail -f
如果日志在更新,如何實(shí)時查看 tail -f /var/log/messages
還可以使用 watch -d -n 1 cat /var/log/messages
-d表示高亮不同的地方,-n表示多少秒刷新一次。
該指令,不會直接返回命令行,而是實(shí)時打印日志文件中新增加的內(nèi)容,
這一特性,對于查看日志是非常有效的。如果想終止輸出,按 Ctrl+C 即可。
除此之外還有more, less ,dmesg|more,這里就不作一一列舉了,因?yàn)槊钐嗔?關(guān)鍵看個人喜好和業(yè)務(wù)需求.個人常用的就是以上那些
linux日志文件說明
/var/log/message 系統(tǒng)啟動后的信息和錯誤日志,是Red Hat Linux中最常用的日志之一
/var/log/secure 與安全相關(guān)的日志信息
/var/log/maillog 與郵件相關(guān)的日志信息
/var/log/cron 與定時任務(wù)相關(guān)的日志信息
/var/log/spooler 與UUCP和news設(shè)備相關(guān)的日志信息
/var/log/boot.log 守護(hù)進(jìn)程啟動和停止相關(guān)的日志消息
/var/log/wtmp 該日志文件永久記錄每個用戶登錄、注銷及系統(tǒng)的啟動、停機(jī)的事件
linux生成log日志命令
linux生成log日志命令步驟如下:
1、按住win+R組合鍵,輸入cmd,然后回車。
2、登錄到遠(yuǎn)程linux,回車,然后輸入密碼。
3、輸入cd+日志目錄名命令,回車即可進(jìn)入到日志目錄。
4、輸入tail-fxxx.log命令。
5、命令行中只要有請求就會生成出來日志。
文章標(biāo)題:Linux啟動日志命令 linux啟用日志記錄功能
標(biāo)題URL:http://www.ef60e0e.cn/article/ddojgio.html
