Linux 日誌分析命令詳解
日誌中有大量的資訊需要你處理,儘管有時候想要提取並非想象中的容易。在這篇文章中我們會介紹一些你現在就能做的基本日誌分析例子(只需要搜尋即可)。我們還將涉及一些更高階的分析,但這些需要你前期努力做出適當的設定,後期就能節省很多時間。對資料進行高階分析的例子包括生成彙總計數、對有效值進行過濾,等等。
我們首先會向你展示如何在命令列中使用多個不同的工具,然後展示了一個日誌管理工具如何能自動完成大部分繁重工作從而使得日誌分析變得簡單。
用 Grep 搜尋
搜尋文字是查詢資訊最基本的方式。搜尋文字最常用的工具是 grep。這個命令列工具在大部分 Linux 發行版中都有,它允許你用正規表示式搜尋日誌。正規表示式是一種用特殊的語言寫的、能識別匹配文字的模式。最簡單的模式就是用引號把你想要查詢的字串括起來。
正規表示式
這是一個在 Ubuntu 系統的認證日誌中查詢 “user hoover” 的例子:
$ grep "user hoover" /var/log/auth.log Accepted password for hoover from 10.0.2.2 port 4792 ssh2 pam_unix(sshd:session): session opened for user hoover by (uid=0) pam_unix(sshd:session): session closed for user hoover
構建精確的正規表示式可能很難。例如,如果我們想要搜尋一個類似埠 “4792” 的數字,它可能也會匹配時間戳、URL 以及其它不需要的資料。Ubuntu 中下面的例子,它匹配了一個我們不想要的 Apache 日誌。
$ grep "4792" /var/log/auth.log Accepted password for hoover from 10.0.2.2 port 4792 ssh2 74.91.21.46 - - [31/Mar/2015:19:44:32 +0000] "GET /scripts/samples/search?q=4972 HTTP/1.0" 404 545 "-" "-”
環繞搜尋
另一個有用的小技巧是你可以用 grep 做環繞搜尋。這會向你展示一個匹配前面或後面幾行是什麼。它能幫助你除錯導致錯誤或問題的東西。B 選項展示前面幾行,A 選項展示後面幾行。舉個例子,我們知道當一個人以管理員員身份登入失敗時,同時他們的 IP 也沒有反向解析,也就意味著他們可能沒有有效的域名。這非常可疑!
$ grep -B 3 -A 2 'Invalid user' /var/log/auth.log Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: reverse mapping checking getaddrinfo for 216-19-2-8.commspeed.net [216.19.2.8] failed - POSSIBLE BREAK-IN ATTEMPT! Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth] Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Invalid user admin from 216.19.2.8 Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: input_userauth_request: invalid user admin [preauth] Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]
Tail
你也可以把 grep 和 tail 結合使用來獲取一個檔案的最後幾行,或者跟蹤日誌並實時列印。這在你做互動式更改的時候非常有用,例如啟動伺服器或者測試程式碼更改。
$ tail -f /var/log/auth.log | grep 'Invalid user' Apr 30 19:49:48 ip-172-31-11-241 sshd[6512]: Invalid user ubnt from 219.140.64.136 Apr 30 19:49:49 ip-172-31-11-241 sshd[6514]: Invalid user admin from 219.140.64.136
關於 grep 和正規表示式的詳細介紹並不在本指南的範圍,但 Ryan’s Tutorials 有更深入的介紹。
日誌管理系統有更高的效能和更強大的搜尋能力。它們通常會索引資料並進行並行查詢,因此你可以很快的在幾秒內就能搜尋 GB 或 TB 的日誌。相比之下,grep 就需要幾分鐘,在極端情況下可能甚至幾小時。日誌管理系統也使用類似 Lucene 的查詢語言,它提供更簡單的語法來檢索數字、域以及其它。
用 Cut、 AWK、 和 Grok 解析
命令列工具
Linux 提供了多個命令列工具用於文字解析和分析。當你想要快速解析少量資料時非常有用,但處理大量資料時可能需要很長時間。
Cut
cut 命令允許你從有分隔符的日誌解析欄位。分隔符是指能分開欄位或鍵值對的等號或逗號等。
假設我們想從下面的日誌中解析出使用者:
pam_unix(su:auth): authentication failure; logname=hoover uid=1000 euid=0 tty=/dev/pts/0 ruser=hoover rhost= user=root
我們可以像下面這樣用 cut 命令獲取用等號分割後的第八個欄位的文字。這是一個 Ubuntu 系統上的例子:
$ grep "authentication failure" /var/log/auth.log | cut -d '=' -f 8 root hoover root nagios nagios
AWK
另外,你也可以使用 awk,它能提供更強大的解析欄位功能。它提供了一個指令碼語言,你可以過濾出幾乎任何不相干的東西。
例如,假設在 Ubuntu 系統中我們有下面的一行日誌,我們想要提取登入失敗的使用者名稱稱:
Mar 24 08:28:18 ip-172-31-11-241 sshd[32701]: input_userauth_request: invalid user guest [preauth]
你可以像下面這樣使用 awk 命令。首先,用一個正規表示式 /sshd.*invalid user/ 來匹配 sshd invalid user 行。然後用 { print $9 } 根據預設的分隔符空格列印第九個欄位。這樣就輸出了使用者名稱。
$ awk '/sshd.*invalid user/ { print $9 }' /var/log/auth.log
guest
admin
info
test
ubnt
你可以在 Awk 使用者指南 中閱讀更多關於如何使用正規表示式和輸出欄位的資訊。
日誌管理系統
日誌管理系統使得解析變得更加簡單,使使用者能快速的分析很多的日誌檔案。他們能自動解析標準的日誌格式,比如常見的 Linux 日誌和 Web 伺服器日誌。這能節省很多時間,因為當處理系統問題的時候你不需要考慮自己寫解析邏輯。
下面是一個 sshd 日誌訊息的例子,解析出了每個 remoteHost 和 user。這是 Loggly 中的一張截圖,它是一個基於雲的日誌管理服務。
你也可以對非標準格式自定義解析。一個常用的工具是 Grok,它用一個常見正規表示式庫,可以解析原始文字為結構化 JSON。下面是一個 Grok 在 Logstash 中解析核心日誌檔案的事例配置:
filter{
grok {
match => {"message" => "%{CISCOTIMESTAMP:timestamp} %{HOST:host} %{WORD:program}%{NOTSPACE} %{NOTSPACE}%{NUMBER:duration}%{NOTSPACE} %{GREEDYDATA:kernel_logs}"
}
}
下圖是 Grok 解析後輸出的結果:
用 Rsyslog 和 AWK 過濾
過濾使得你能檢索一個特定的欄位值而不是進行全文檢索。這使你的日誌分析更加準確,因為它會忽略來自其它部分日誌資訊不需要的匹配。為了對一個欄位值進行搜尋,你首先需要解析日誌或者至少有對事件結構進行檢索的方式。
如何對應用進行過濾
通常,你可能只想看一個應用的日誌。如果你的應用把記錄都儲存到一個檔案中就會很容易。如果你需要在一個聚集或集中式日誌中過濾一個應用就會比較複雜。下面有幾種方法來實現:
- 用 rsyslog 守護程式解析和過濾日誌。下面的例子將 sshd 應用的日誌寫入一個名為 sshd-message 的檔案,然後丟棄事件以便它不會在其它地方重複出現。你可以將它新增到你的 rsyslog.conf 檔案中測試這個例子。
:programname, isequal, “sshd” /var/log/sshd-messages &~
- 用類似 awk 的命令列工具提取特定欄位的值,例如 sshd 使用者名稱。下面是 Ubuntu 系統中的一個例子。
$ awk '/sshd.*invalid user/ { print $9 }' /var/log/auth.log guest admin info test ubnt - 用日誌管理系統自動解析日誌,然後在需要的應用名稱上點選過濾。下面是在 Loggly 日誌管理服務中提取 syslog 域的截圖。我們對應用名稱 “sshd” 進行過濾,如維恩圖圖示所示。
如何過濾錯誤
一個人最希望看到日誌中的錯誤。不幸的是,預設的 syslog 配置不直接輸出錯誤的嚴重性,也就使得難以過濾它們。
這裡有兩個解決該問題的方法。首先,你可以修改你的 rsyslog 配置,在日誌檔案中輸出錯誤的嚴重性,使得便於檢視和檢索。在你的 rsyslog 配置中你可以用 pri-text 新增一個 模板,像下面這樣:
"<%pri-text%> : %timegenerated%,%HOSTNAME%,%syslogtag%,%msg%n"
這個例子會按照下面的格式輸出。你可以看到該資訊中指示錯誤的 err。
<authpriv.err> : Mar 11 18:18:00,hoover-VirtualBox,su[5026]:, pam_authenticate: Authentication failure
你可以用 awk 或者 grep 檢索錯誤資訊。在 Ubuntu 中,對這個例子,我們可以用一些語法特徵,例如 . 和 >,它們只會匹配這個域。
$ grep '.err>' /var/log/auth.log <authpriv.err> : Mar 11 18:18:00,hoover-VirtualBox,su[5026]:, pam_authenticate: Authentication failure
你的第二個選擇是使用日誌管理系統。好的日誌管理系統能自動解析 syslog 訊息並抽取錯誤域。它們也允許你用簡單的點選過濾日誌訊息中的特定錯誤。
下面是 Loggly 中一個截圖,顯示了高亮錯誤嚴重性的 syslog 域,表示我們正在過濾錯誤:
相關文章
- Linux系統檢視log日誌命令詳解!Linux
- ELK日誌分析系統詳解
- Linux日誌管理詳解(轉)Linux
- 詳解Oracle AWR執行日誌分析工具Oracle
- Apache日誌詳解Apache
- 日誌分析(1)常見命令
- Linux 日誌定時輪詢流程詳解Linux
- 效能工具之linux常見日誌統計分析命令Linux
- JVM GC 日誌詳解JVMGC
- Nginx日誌配置詳解Nginx
- 常用伺服器日誌分析命令伺服器
- 日誌分析-apache日誌分析Apache
- Python 日誌功能詳解Python
- Nginx access.log日誌分析shell命令Nginx
- Linux 查詢 日誌 相關命令Linux
- Nginx日誌分析解決方案Nginx
- Linux at命令詳解Linux
- nginx伺服器access_log日誌分析及配置詳解Nginx伺服器
- mysql的日誌檔案詳解MySql
- 日誌收集器Filebeat詳解
- [日誌分析篇]-利用ELK分析jumpserver日誌-日誌拆分篇Server
- Linux 檢視日誌的命令彙總Linux
- Linux檢視日誌常用命令Linux
- linux日誌相關的具體命令Linux
- ELK日誌分析系統 超詳細!!理論+實操講解!!
- Linux xargs 命令詳解Linux
- Linux sed 命令詳解Linux
- Linux awk 命令詳解Linux
- linux top 命令詳解Linux
- Linux diff命令詳解Linux
- Linux chattr命令詳解Linux
- Linux命令top詳解Linux
- Linux screen 命令詳解Linux
- Linux find 命令詳解Linux
- linux top命令詳解Linux
- linux命令詳解:sortLinux
- 【Linux】tcpdump命令詳解LinuxTCP
- linux tail 命令詳解LinuxAI