Protokoly jsou mimořádně užitečné při řešení problémů se systémem, aplikací nebo sítí. Informace zachycené v souborech protokolu mohou být také analyzovány, aby bylo možné odhalit vzorce, které vám jako správce systému mohou pomoci činit informovaná rozhodnutí.
Tato příručka stručně vysvětluje, jak můžete zobrazit standardní soubory protokolu na serverech Ubuntu Linux.
Důležité příkazy pro práci se soubory protokolu
Na serverech Ubuntu Linux jsou protokoly normálně uloženy ve formátu prostého textu. Proto je důležité, abyste znali následující základní linuxové příkazy pro pohyb v souborovém systému a práci s textovými soubory prostřednictvím terminálu Ubuntu.
cd – změnit adresář
ls – zobrazení obsahu adresáře
cp – kopírování souborů nebo složek
mv – přejmenovat/přesunout soubory nebo složky
nano – textový editor založený na konzole
méně – zobrazení obsahu textového souboru po jednotlivých stránkách
hlava – zobrazí prvních 10 řádků textového souboru
ocas – zobrazit posledních 10 řádků textového souboru
grep – hledání konkrétních klíčových slov v textovém souboru nebo výstupních datech
Umístění souborů protokolu na serverech Ubuntu
V zásadě jsou soubory protokolu uloženy pod /var/log adresář na serverech Ubuntu. Spusťte níže uvedený příkaz a změňte adresář na /var/log.
$ cd /var/log
Nyní můžete vypsat obsah /var/log následovně.
$ ls
Jak je vidět na obrázku 1 níže, adresář /var/log obsahuje několik souborů protokolu, které lze široce rozdělit do systémových protokolů a protokolů aplikací.
Obrázek 1:Seznam souborů protokolu na serveru Ubuntu
Systémové protokoly
Systémové protokoly obsahují informace o provozu systému Ubuntu; včetně autorizačních protokolů, protokolů jádra, kruhové vyrovnávací paměti jádra a obecných systémových událostí.
Protokoly autorizace
Autorizační protokoly jsou uloženy v /var/log/auth.log . Zde najdete informace o pokusech o autorizaci uživatele; včetně použití příkazu sudo.
Můžete spustit příkaz níže a zkontrolovat obsah souboru auth.log.
$ sudo less /var/log/auth.log
Poznámka: Stisknutím mezerníku na klávesnici můžete listovat ze stránky na stránku. Stiskněte q pro ukončení.
Můžete také použít příkaz grep k filtrování informací v protokolech. Zde je příklad.
$ sudo less /var/log/auth.log | grep olu
Informace v ukázkovém výstupu níže ukazuje, že došlo k úspěšnému vzdálenému přihlášení k mému serveru Ubuntu přes ssh uživatelem olu.
| 1. únor 15:44:24 Ubuntu sshd[1594]:Přijímaný veřejný klíč pro olu z 105.0.0.100 port 35233 ssh2:RSA SHA256:B3zi4x3gdF89wm0Gs8x0sfXHSKi8GZ0sfX 1. února 15:44:24 Ubuntu sshd[1594]:pam_unix(sshd:session):relace otevřena pro uživatele olu (uid=0) 1. února 15:44:24 Ubuntu systemd-logind[747]:Nová relace 2 uživatele olu. 1. února 15:44:24 Ubuntu systemd:pam_unix(systemd-user:session):relace otevřena pro uživatele olu (uid=0) |
Protokoly jádra
Protokoly jádra jsou uloženy v /var/log/kern.log . Tyto informace jsou užitečné při odstraňování chyb jádra. Jádro řídí vše v operačním systému; včetně správy procesů, správy paměti a správy zařízení.
Pomocí následujícího příkazu zobrazíte obsah souboru kern.log jednu stránku po druhé.
$ sudo less /var/log/kern.log
Nebo zkuste toto pro zobrazení prvních 10 řádků souboru kern.log.
$ sudo head /var/log/kern.log
Konkrétní informace najdete na kern.log.
$ grep memory /var/log/kern.log
Kruhová vyrovnávací paměť jádra
Kruhová vyrovnávací paměť jádra obsahuje informace o hardwaru jádra. Informace jsou přihlášeny do /var/log/dmesg a lze je zobrazit pomocí dmesg příkaz. Tyto informace zahrnují všechna zařízení detekovaná při spouštění systému.
Můžete to použít k řešení problémů s hardwarovými součástmi serveru. Spuštěním příkazu níže zobrazíte celý obsah kruhové vyrovnávací paměti jádra.
$ dmesg
Zkuste dalším příkazem zobrazit posledních 10 řádků kruhové vyrovnávací paměti jádra.
$ dmesg | tail
Nebo filtrujte konkrétní klíčová slova pomocí grep.
$ dmesg | grep cpu
Obecné systémové protokoly
Zde budeme hovořit o syslogu a journalctl
Syslog
Syslog je protokolovací mechanismus, který ukládá obecné systémové události do /var/log/syslog . Zde uložené informace mohou zahrnovat události, které nenajdete v jiných souborech protokolu.
Spuštěním níže uvedeného příkazu zobrazíte obsah souboru syslog stránku po stránce.
$ sudo less /var/log/syslog
Můžete také vyhledat konkrétní klíčová slova pomocí grep příkaz takto.
$ sudo grep failed /var/log/syslog
Journalctl
Příkaz journalctl zjednodušuje proces zkoumání protokolů serveru. Spíše než prohledávat jednotlivé soubory protokolu můžete k rychlému vyhledání a filtrování informací, které potřebujete, použít journalctl.
Níže uvedený příkaz zobrazí všechny položky protokolu od nejstarších po nejnovější.
$ journalctl
Další příkaz zobrazí varovné zprávy.
$ journalctl -p warning
Můžete zobrazit pouze zprávy jádra následovně.
$ journalctl --dmesg
Konkrétní klíčová slova můžete vyhledat kombinací grep příkaz a zobrazení výsledků stránku po stránce pomocí méně .
$ journalctl | grep ssh | less
Zobrazit informace protokolu od určitého data.
$ journalctl --since=2021-02-01
Nebo zobrazit informace protokolu od určitého času.
$ journalctl --since=12:00
Můžete také zadat journalctl a poté stisknutím klávesy Tab na klávesnici zobrazte dostupné možnosti.
Protokoly aplikací
Několik aplikací ukládá informace protokolu pod /var/log . Například na obrázku 1 výše clamav adresář obsahuje soubory protokolu týkající se antimalwarové aplikace ClamAV.
Zde je několik příkladů oblíbených aplikací nebo služeb a míst, kde jsou uloženy jejich protokolové informace.
Apache web server logs - /var/log/apache2
NGINX web server logs - /var/log/nginx
Printing system (CUPS) logs - /var/log/cups
Další užitečné protokoly
Některé soubory protokolu, například lastlog , wtmp nemusí být přímo čteny lidmi. Následuje stručné vysvětlení toho, jaký typ informací tyto soubory obsahují a jak je můžete zobrazit.
poslední protokol
Informace uložené v /var/log/lastlog se týká uživatelů a jejich posledního přihlášení k serveru Ubuntu. Budete muset použít poslední protokol pro přístup k němu následovně.
$ lastlog
wtmp
var/log/wtmp soubor obsahuje komplexní přihlašovací záznamy.
Spusťte poslední příkaz pro zobrazení seznamu naposledy přihlášených uživatelů. Můžete také vidět informace o spuštění/rebootu systému.
$ last
Spusťte kdo příkaz, abyste viděli, kdo je aktuálně přihlášen.
$ who
w vám ukáže, kdo je aktuálně přihlášen a co dělá na serveru Ubuntu.
$ w
Závěr
V této příručce jsme stručně popsali, jak zobrazit standardní soubory protokolu na serverech Ubuntu. Toto není vyčerpávající seznam, ale doufáme, že vám poskytne představu, kde hledat.