Linux 日誌基礎
首先,我們將描述有關 Linux 日誌是什麼,到哪兒去找它們,以及它們是如何建立的基礎知識。如果你已經知道這些,請隨意跳至下一節。
Linux 系統日誌
許多有價值的日誌檔案都是由 Linux 自動地為你建立的。你可以在 /var/log 目錄中找到它們。下面是在一個典型的 Ubuntu 系統中這個目錄的樣子:
一些最為重要的 Linux 系統日誌包括:
- /var/log/syslog 或 /var/log/messages 儲存所有的全域性系統活動資料,包括開機資訊。基於 Debian 的系統如 Ubuntu 在 /var/log/syslog 中儲存它們,而基於 RedHat 的系統如 RHEL 或 CentOS 則在 /var/log/messages 中儲存它們。
- /var/log/auth.log 或 /var/log/secure 儲存來自可插拔認證模組(PAM)的日誌,包括成功的登入,失敗的登入嘗試和認證方式。Ubuntu 和 Debian 在 /var/log/auth.log 中儲存認證資訊,而 RedHat 和 CentOS 則在 /var/log/secure 中儲存該資訊。
- /var/log/kern 儲存核心的錯誤和警告資料,這對於排除與定製核心相關的故障尤為實用。
- /var/log/cron 儲存有關 cron 作業的資訊。使用這個資料來確保你的 cron 作業正成功地執行著。
Digital Ocean 有一個關於這些檔案的完整教程,介紹了 rsyslog 如何在常見的發行版本如 RedHat 和 CentOS 中建立它們。
應用程式也會在這個目錄中寫入日誌檔案。例如像 Apache,Nginx,MySQL 等常見的伺服器程式可以在這個目錄中寫入日誌檔案。其中一些日誌檔案由應用程式自己建立,其他的則通過 syslog (具體見下文)來建立。
什麼是 Syslog?
Linux 系統日誌檔案是如何建立的呢?答案是通過 syslog 守護程式,它在 syslog 套接字 /dev/log 上監聽日誌資訊,然後將它們寫入適當的日誌檔案中。
單詞“syslog” 代表幾個意思,並經常被用來簡稱如下的幾個名稱之一:
- Syslog 守護程式 — 一個用來接收、處理和傳送 syslog 資訊的程式。它可以遠端傳送 syslog 到一個集中式的伺服器或寫入到一個本地檔案。常見的例子包括 rsyslogd 和 syslog-ng。在這種使用方式中,人們常說“傳送到 syslog”。
- Syslog 協議 — 一個指定日誌如何通過網路來傳送的傳輸協議和一個針對 syslog 資訊(具體見下文) 的資料格式的定義。它在 RFC-5424 中被正式定義。對於文字日誌,標準的埠是 514,對於加密日誌,埠是 6514。在這種使用方式中,人們常說“通過 syslog 傳送”。
- Syslog 資訊 — syslog 格式的日誌資訊或事件,它包括一個帶有幾個標準欄位的訊息頭。在這種使用方式中,人們常說“傳送 syslog”。
Syslog 資訊或事件包括一個帶有幾個標準欄位的訊息頭,可以使分析和路由更方便。它們包括時間戳、應用程式的名稱、在系統中資訊來源的分類或位置、以及事件的優先順序。
下面展示的是一個包含 syslog 訊息頭的日誌資訊,它來自於控制著到該系統的遠端登入的 sshd 守護程式,這個資訊描述的是一次失敗的登入嘗試:
<34>1 2003-10-11T22:14:15.003Z server1.com sshd - - pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2
Syslog 格式和欄位
每條 syslog 資訊包含一個帶有欄位的資訊頭,這些欄位是結構化的資料,使得分析和路由事件更加容易。下面是我們使用的用來產生上面的 syslog 例子的格式,你可以將每個值匹配到一個特定的欄位的名稱上。
<%pri%>%protocol-version% %timestamp:::date-rfc3339% %HOSTNAME% %app-name% %procid% %msgid% %msg%n
下面,你將看到一些在查詢或排錯時最常使用的 syslog 欄位:
時間戳
時間戳 (上面的例子為 2003-10-11T22:14:15.003Z) 暗示了在系統中傳送該資訊的時間和日期。這個時間在另一系統上接收該資訊時可能會有所不同。上面例子中的時間戳可以分解為:
- 2003-10-11 年,月,日。
- T 為時間戳的必需元素,它將日期和時間分隔開。
- 22:14:15.003 是 24 小時制的時間,包括進入下一秒的毫秒數(003)。
- Z 是一個可選元素,指的是 UTC 時間,除了 Z,這個例子還可以包括一個偏移量,例如 -08:00,這意味著時間從 UTC 偏移 8 小時,即 PST 時間。
主機名
主機名 欄位(在上面的例子中對應 server1.com) 指的是主機的名稱或傳送資訊的系統.
應用名
應用名 欄位(在上面的例子中對應 sshd:auth) 指的是傳送資訊的程式的名稱.
優先順序
優先順序欄位或縮寫為 pri (在上面的例子中對應 ) 告訴我們這個事件有多緊急或多嚴峻。它由兩個數字欄位組成:裝置欄位和緊急性欄位。緊急性欄位從代表 debug 類事件的數字 7 一直到代表緊急事件的數字 0 。裝置欄位描述了哪個程式建立了該事件。它從代表核心資訊的數字 0 到代表本地應用使用的 23 。
Pri 有兩種輸出方式。第一種是以一個單獨的數字表示,可以這樣計算:先用裝置欄位的值乘以 8,再加上緊急性欄位的值:(裝置欄位)(8) + (緊急性欄位)。第二種是 pri 文字,將以“裝置欄位.緊急性欄位” 的字串格式輸出。後一種格式更方便閱讀和搜尋,但佔據更多的儲存空間。
相關文章
- linux基礎日誌Linux
- AIX基礎日誌AI
- 重做日誌基礎操作
- 網格RAC基礎日誌
- Linux-本地日誌服務管理(rsyslog基礎)Linux
- Apache基礎配置與日誌管理Apache
- 日誌框架體系整理( 基礎 )框架
- Oracle重做日誌檔案基礎Oracle
- Django基礎之四(日誌)【待續】Django
- 零基礎寫框架(2):故障排查和日誌基礎框架
- Redis基礎篇(三)持久化:AOF日誌Redis持久化
- Apache基礎配置與日誌管理解析Apache
- Oracle基礎 04 歸檔日誌 archivelogOracleHive
- Oracle基礎 05 聯機日誌 redologOracle
- oracle基礎練習5章 重做日誌Oracle
- Linux日誌Linux
- linux日誌管理Linux
- 重新整理 mysql 基礎篇————— 介紹mysql日誌[二]MySql
- Util應用框架基礎(六) - 日誌記錄(一) - 正文框架
- Linux 檢視日誌Linux
- Linux C日誌logLinux
- Linux 日誌管理指南Linux
- linux _壓縮日誌Linux
- Core + Vue 後臺管理基礎框架9——統一日誌Vue框架
- ASP.NET Core 2.2 基礎知識(八)【日誌記錄】ASP.NET
- DB2日誌傳送基礎知識講解CIDB2
- 『學了就忘』Linux日誌管理 — 92、日誌輪替Linux
- Util應用框架基礎(六) - 日誌記錄(三) - 寫入 Seq框架
- Util應用框架基礎(六) - 日誌記錄(四) - 寫入 Exceptionless框架Exception
- Linux-ELK日誌收集Linux
- linux查詢日誌技巧Linux
- Linux 日誌終極指南Linux
- Linux日誌系統(一)Linux
- Linux下的重要日誌Linux
- Linux日誌伺服器Linux伺服器
- linux 分享日誌指令碼Linux指令碼
- linux的日誌檔案Linux
- linux日誌管理(三)(轉)Linux