Một tệp nhật ký, như bạn có thể đã đoán, cung cấp một dòng thời gian của các sự kiện cho hệ điều hành Linux , các ứng dụng và dịch vụ.
Các tệp được lưu trữ ở dạng văn bản thuần túy để dễ đọc. Hướng dẫn này cung cấp tổng quan về nơi tìm các tệp nhật ký, làm nổi bật một số nhật ký chính và giải thích cách đọc chúng.
Bạn có thể tìm tệp nhật ký Linux ở đâu
Các tệp nhật ký Linux thường được lưu trữ trong thư mục / var / logs.
Thư mục sẽ chứa một số lượng lớn các tệp và bạn có thể nhận thông tin cho từng ứng dụng.
Ví dụ khi lệnh ls được chạy trong một thư mục mẫu / var / logs, đây là một vài bản ghi có sẵn.
- kern.log
- auth.log
- bootstrap.log
- alternatives.log
- samba
- ly
- lightdm
Ba danh sách cuối cùng trong danh sách đó là các thư mục nhưng chúng có các tệp nhật ký trong các thư mục.
Vì tệp nhật ký ở định dạng văn bản thuần túy, bạn có thể đọc chúng bằng cách nhập lệnh sau:
nano
Lệnh trên sẽ mở tệp nhật ký trong trình chỉnh sửa có tên là nano . Nếu tệp nhật ký có kích thước nhỏ thì bạn có thể mở tệp nhật ký và trình chỉnh sửa nhưng nếu tệp nhật ký lớn thì bạn có thể chỉ quan tâm đến việc đọc đuôi cuối của nhật ký.
Lệnh đuôi cho phép bạn đọc một vài dòng cuối cùng trong một tệp như sau:
đuôi
Bạn có thể chỉ định số lượng dòng hiển thị với nút chuyển đổi -n như sau:
tail -n
Tất nhiên, nếu bạn muốn xem đầu của tập tin bạn có thể sử dụng lệnh đầu .
Nhật ký hệ thống khóa
Các tệp nhật ký sau là những tệp chính để tìm trong Linux.
- Nhật ký ủy quyền
- Nhật ký Daemon
- Nhật ký gỡ lỗi
- Nhật ký hạt nhân
- Nhật ký hệ thống
Nhật ký ủy quyền (auth.log) theo dõi việc sử dụng các hệ thống ủy quyền kiểm soát quyền truy cập của người dùng.
Daemon log (daemon.log) theo dõi các dịch vụ chạy trong nền, thực hiện các nhiệm vụ quan trọng.
Daemons có xu hướng không có đầu ra đồ họa.
Nhật ký gỡ lỗi cung cấp đầu ra gỡ lỗi cho các ứng dụng.
Nhật ký hạt nhân cung cấp chi tiết về hạt nhân Linux.
Nhật ký hệ thống chứa hầu hết thông tin về hệ thống của bạn và nếu ứng dụng của bạn không có nhật ký riêng, các mục nhập có thể sẽ nằm trong tệp nhật ký này.
Phân tích nội dung của tệp nhật ký
Hình ảnh ở trên hiển thị nội dung của 50 tệp cuối cùng trong tệp nhật ký hệ thống của tôi (syslog).
Mỗi dòng trong nhật ký chứa thông tin sau:
- Ngày
- Tên máy chủ
- Ứng dụng / Dịch vụ
- Thông điệp
Ví dụ: một dòng trong tệp nhật ký hệ thống của tôi như sau:
jan 20 12:28:56 gary-virtualbox systemd [1]: bắt đầu lên lịch trình cho ly
Điều này cho bạn biết rằng dịch vụ lập lịch trình tách đã được bắt đầu lúc 12.28 vào ngày 20 tháng 1.
Xoay Nhật ký
Các tệp nhật ký xoay vòng định kỳ để chúng không quá lớn.
Tiện ích xoay đăng nhập chịu trách nhiệm luân phiên các tệp nhật ký. Bạn có thể biết thời điểm nhật ký đã được xoay vì nó sẽ được theo sau bởi một số như auth.log.1, auth.log.2.
Có thể thay đổi tần suất quay vòng bằng cách chỉnh sửa tập tin / etc / logrotate.conf
Sau đây cho thấy một mẫu từ tệp logrotate.conf của tôi:
#rotate tệp nhật ký
hàng tuần
# giữ 4 tuần giá trị của tệp nhật ký
xoay 4
tạo tệp nhật ký mới sau khi xoay
tạo nên
Như bạn có thể thấy, các tệp nhật ký này xoay vòng mỗi tuần và có bốn tuần tệp nhật ký được lưu giữ tại bất kỳ thời điểm nào.
Khi một tệp nhật ký quay một tệp mới được tạo ra ở vị trí của nó.
Mỗi ứng dụng có thể có chính sách xoay vòng riêng của mình. Điều này rõ ràng là hữu ích vì tệp syslog sẽ phát triển nhanh hơn tệp nhật ký tách.
Các chính sách luân phiên được lưu giữ trong /etc/logrotate.d. Mỗi ứng dụng yêu cầu chính sách xoay riêng của nó sẽ có tệp cấu hình trong thư mục này.
Ví dụ: công cụ apt có một tệp trong thư mục logrotate.d như sau:
/var/log/apt/history.log {
xoay 12
hàng tháng
nén
thiếu sót
notifempty
}
Về cơ bản, nhật ký này cho bạn biết những điều sau đây. Nhật ký sẽ giữ các tệp nhật ký có giá trị 12 tuần và luân phiên mỗi tháng (1 mỗi tháng). Tệp nhật ký sẽ được nén. Nếu không có thư nào được ghi vào nhật ký (nghĩa là nó trống) thì điều này có thể chấp nhận được. Nhật ký sẽ không xoay nếu nó trống.
Để sửa đổi chính sách của một tập tin chỉnh sửa các tập tin với các thiết lập mà bạn yêu cầu và sau đó chạy lệnh sau:
logrotate -f