西安培训老师分享linux日志的管理
时间:2018-01-15 14:55:58 | 来源:西安千锋 | 作者:千锋教育西安校区
总有很多朋友问,
西安Linux培训哪家好问题,千锋教育老师对自己的学科课程和学科质量有着充足的自信,但并不打算对其他学校多做评论。
但是,千锋老师相信,千锋坚持用良心做教育,会收到大家的好评,比如这次,千锋老师就为大家准备了Linux日志的一些知识点,希望能够对大家有所帮助。
日志管理系统
日志管理系统让解析容易并且让用户可以快速分析大量日志文件。它们可以自动解析标准日志格式,比如公共 Linux 日志或 web 服务日志。这会节省很多时间,因为你在定位系统问题的时候不用去想如何写你的解析逻辑。
对非标准格式的日志,你也可以自定义解析规则。常用的工具是 Grok,它用通用正则表达式库把纯文本解析成 JSON 格式。这是 Grok 的配置示例,用来解析 Logstash 的内核日志 :
filter{
grok {
match => {"message" => "%{CISCOTIMESTAMP:timestamp} %{HOST:host} %{WORD:program}%{NOTSPACE} %{NOTSPACE}%{NUMBER:duration}%{NOTSPACE} %{GREEDYDATA:kernel_logs}"
}
}
使用 Rsyslog 和 AWK 过滤
过滤是搜索特定的字段,而不是全部文本。这让你的日志分析精确,因为它会忽略其他不需要的日志信息。为了搜索一个字段值,你需要先解析你的日志或者至少有一种基于事件结构的搜索方法。
如何筛选出同一个应用的日志
通常,你只想看来自同一个应用的日志。如果你的应用总是把日志记录在单个文件中,这样很容易分析。如果你要从聚合或集中起来的日志里筛选出和某个程序相关的日志,会很复杂。这里有几种解决的办法。
1.用 Rsyslog 服务解析和过滤日志。这个例子是将 sshd 应用程序的日志写入名为 sshd-messages 的文件中,然后丢弃事件,所以它不会在其他日志里重复出现。你可以把它加到你的 Rsyslog.conf 文件里试一下。
:programname, isequal, “sshd” /var/log/sshd-messages
&~
2.使用命令行工具比如 awk ,提取特定字段的值,比如取 sshd 用户名。这是 Ubuntu 上的例子。
$ awk '/sshd.*invalid user/ { print $9 }' /var/log/auth.log
guestadmin
info
test
ubnt
3.使用日志管理系统自动解析你的日志,然后点击目标应用的名字进行过滤。如何筛选出错误信息
常见的事情是,人们想看到日志中的错误。不巧的是,默认的 syslog 配置不会直接输出错误的级别,这使得错误信息很难被筛选。
这里有两种方案来解决这个问题。首先,你可以修改 rsyslog 配置,让它输出级别到日志文件中,使得错误信息容易被读取和搜索。在你的 Rsyslog 配置中你可以加一个pri-text 模版,如下所示:
"<%pri-text%> : %timegenerated%,%HOSTNAME%,%syslogtag%,%msg%n"
这个例子的输出如下,可以看到级别是 err。
<authpriv.err> : Mar 11 18:18:00,hoover-VirtualBox,su[5026]:, pam_authenticate: Authentication failure
你可以用 awk 或grep 筛选出错误信息。这是 Ubuntu 下的例子,我们加了开始结束标志 . 和 > ,这样它就只匹配这个字段。
$ grep '.err>' /var/log/auth.log
<authpriv.err> : Mar 11 18:18:00,hoover-VirtualBox,su[5026]:, pam_authenticate: Authentication failure
第二种选择是使用日志管理系统。好的日志管理系统会自动解析 syslog 消息并提取出级别字段。只需点一下,就会按指定的级别筛选日志。
上一篇:Python培训学科实力高,学习费用高性价比
下一篇:西安Python培训学习,先看看视频教程