Файл журнала содержит хронологию событий для операционной системы, приложений и служб Linux. Файлы хранятся в виде обычного текста, чтобы их было легко читать.
Где найти файлы журналов Linux?
:max_bytes(150000):strip_icc()/linux-logs-e3f06ce80f224b8192287e327bcb3f35.jpg)
Файлы журнала Linux обычно хранятся в папке / var / log. В папке содержится большое количество файлов с подробной информацией по каждому приложению.
Как я могу открыть файлы .LOG?
Поскольку файлы журналов имеют простой текстовый формат, их можно прочитать в любом текстовом редакторе. Большинство дистрибутивов предлагают карликовый, который предлагает простой в использовании интерфейс:
nano <имя файла журнала>
Если файл журнала имеет небольшой размер, то его можно открыть в редакторе, но если файл журнала большой, то вам, вероятно, будет интересно читать только его конец. Команда tail отображает последние несколько строк в файле. Укажите, сколько строк показывать с помощью -n переключатель (с указанием количества строк) следующим образом:
tail -nx <имя файла журнала>
Чтобы увидеть начало файла, используйте команда.
Обычно сжимаются очень большие журналы. Вы увидите их в / var / log с суффиксом .GZ. Для просмотра журнала распакуйте архив с помощью любой утилиты.
Ключевые системные журналы
Следующие файлы журналов являются основными, которые нужно искать в Linux.
- Авторизация: Отслеживает использование систем авторизации, контролирующих доступ пользователей.
- демон: Отслеживает службы, которые работают в фоновом режиме и выполняют важные задачи. Демоны, как правило, не имеют графического вывода, поэтому вам нужно прочитать файл журнала, чтобы понять производительность демона.
- Отлаживать: Обеспечивает вывод отладки для приложений.
- ядро: Показывает информацию о ядре, включая ошибки.
- Платформа: Содержит наибольшую информацию о вашей системе; если ваше приложение не имеет собственного журнала, записи, вероятно, будут в этом файле журнала.
Анализ содержимого файла журнала
На изображении ниже показано содержимое последних 50 файлов в файле системного журнала (syslog).
:max_bytes(150000):strip_icc()/linux-log-tail-syslog-d58aef7f98664189a32f28275a9e05d8.jpg)
Каждая строка журнала содержит следующую информацию:
- Время
- Hostname
- Приложение / Сервис
- Сообщение
Например, одна строка в файле системного журнала выглядит следующим образом:
20 янв 12:28:56 gary-virtualbox systemd [1]: запуск планировщика чашек
Это говорит о том, что услуга по расписанию чашек была запущена в 12.28 20 января.
Вращающиеся бревна
Файлы журнала периодически меняются, чтобы не становиться слишком большими.
Утилита ротации журналов отвечает за ротацию файлов журналов. Вы можете определить, когда журнал был повернут, потому что за ним будет следовать номер, например auth.log.1, auth.log.2.
Частоту ротации логов можно изменить, отредактировав файл /etc/logrotate.conf.
Ниже показан пример из файла logrotate.conf:
# повернуть файлы журналов
еженедельно
# хранить файлы журналов на 4 недели
повернуть 4
# создавать новые файлы журналов после ротации
Создайте
:max_bytes(150000):strip_icc()/linux-logrotate-conf-6969786489414a81968094dc7ea304c2.jpg)
Эти файлы журнала меняются каждую неделю, и в любой момент времени файлы журнала хранятся за четыре недели. При ротации файла журнала на его месте создается новый.
У каждого приложения может быть своя собственная политика ротации. Политики ротации хранятся в /etc/logrotate.d. Каждое приложение, которому требуется собственная политика ротации, будет иметь файл конфигурации в этой папке.
Например, инструмент apt имеет следующий файл в папке logrotate.d:
/var/log/apt/history.log {
повернуть 12
ежемесячно
сжимать
missingok
notifempty
}
По сути, этот журнал сообщает вам следующее: Журнал будет хранить файлы журнала за 12 недель и обновляться каждый месяц (по одному в месяц). Файл журнала будет сжат. Если в журнал не записываются сообщения (т. Е. Он пустой), это допустимо. Журнал не будет вращаться, если он пустой.
Чтобы изменить политику файла, отредактируйте файл с необходимыми настройками, а затем выполните следующую команду:
logrotate -f