Как лучше понять файлы журналов в Linux и Mac

Когда что-то идет не так с Linux, устранение неполадок может быть кошмаром. Присущие этому проблемы удваиваются, когда проблема, с которой вы сталкиваетесь, носит прерывистый характер, и вы не знаете, что ее вызывает.

Я полагаю, вы могли бы час за часом просматривать переполнение стека и обращаться за помощью к Reddit.

, Или вы можете взять вещи в свои руки и погрузиться в файлы журналов вашей системы, чтобы выяснить, в чем проблема.

Что такое файлы журналов?

Многие программы — будь то для Windows, Mac или Linux — генерируют файлы журналов по ходу работы. Даже Android их генерирует

, Это текстовые файлы, которые содержат информацию о том, как работает программа. Каждое событие будет в отдельной строке с отметкой времени для второго.

Хотя это не всегда верно для всех приложений, файлы журналов обычно находятся в каталоге / var / log.

varlog

В подавляющем большинстве случаев данные в этих файлах будут обыденными. Это не обязательно указывает на проблему. Это будет просто информация о том, что программа делала в данный момент.

Но когда есть проблема, вы можете гарантировать, что информация о ней будет содержаться в файлах журнала. Эта информация может использоваться, чтобы исправить это, или задать описательный вопрос кого-то, кто мог бы знать.

Итак, когда вы работаете с файлами журналов, как вы изолируете информацию, которая вас интересует, от того, что вам не нравится?

Использование стандартных утилит Linux

Как мы уже упоминали ранее, файлы журналов не являются эксклюзивными для какой-либо одной платформы. Несмотря на это, в центре внимания этой статьи будут Linux и OS X, потому что эти две операционные системы поставляются с необходимыми инструментами командной строки UNIX

требуется разобрать их.

Поскольку файлы журнала представляют собой обычные текстовые файлы, вы можете использовать любые инструменты, которые вы использовали бы для просмотра таких файлов. Из них grep, пожалуй, самый сложный для изучения, но также и самый полезный. Это позволяет вам искать конкретные фразы и термины в определенном файле. Синтаксис этого grep [термин] [имя файла].

greperrorlog

В их наиболее продвинутых, вы можете использовать регулярные выражения (RegEx) для поиска терминов и элементов с лазерной фокусировкой. Хотя RegEx часто выглядит как волшебство, на самом деле довольно просто освоить его.

Затем есть команды «голова» и «хвост». Нет смысла гадать, что они делают. Они показывают вам верхнюю и нижнюю десять строк файла, соответственно. Итак, если вы хотите увидеть последние элементы в лог-файле, вы должны запустить «tail filename».

taillog

Вы можете изменить количество отображаемых строк, используя триггер «-n». Итак, если вы хотите увидеть первые 20 строк файла, вы запустите

head -n 20 [имя файла]

headlog

Если вы хотите просмотреть все содержимое файла, вы можете использовать утилиту «cat». Это может быть немного громоздким, поскольку файлы журналов часто измеряются сотнями тысяч строк. Лучшей идеей было бы передать ее менее полезной программе, которая позволит вам просматривать ее по одной странице за раз. Для этого запустите

кошка [имя файла] | Меньше

catlogless

В качестве альтернативы вы можете использовать sed и awk. Эти две утилиты позволяют вам писать простые сценарии, которые обрабатывают текстовые файлы. Мы писали о них в прошлом году

,

Наконец, если вы уверены в этом, вы также можете попробовать текстовый редактор vim

, Это имеет множество встроенных команд, которые упрощают анализ файлов журнала. 32-разрядная версия vim также имеет максимальный размер файла 2 ГБ, хотя я не рекомендую использовать его для файлов большого размера из соображений производительности.

Использование программного обеспечения для управления журналами

Если это звучит как слишком тяжелая работа, или вы хотите использовать что-то более наглядное, вы можете рассмотреть возможность использования приложения для управления журналами (часто путают с SIEM или с информацией о безопасности и управлением событиями).

Что хорошего в том, что они делают большую часть тяжелой работы для вас. Многие из них могут просматривать журналы и автоматически выявлять проблемы. Они также могут визуализировать журналы во всех видах приятных графиков и диаграмм, что позволяет вам лучше понять, насколько надежно работает приложение.

Одна из самых известных программ управления журналами называется Splunk. Этот инструмент управления журналами позволяет просматривать файлы с помощью веб-интерфейса. Он даже имеет свой собственный мощный и универсальный язык обработки поиска, который позволяет программно анализировать результаты.

Splunk используется бесчисленным крупным бизнесом. Он доступен для Mac, Windows и Linux. Но у него также есть бесплатная версия, которую могут использовать домашние пользователи и пользователи малого бизнеса для управления своими журналами.

Эта версия, называемая Splunk Light, имеет много общего с версиями для предприятий. Он может просматривать журналы, отслеживать файлы на наличие проблем и выдавать оповещения, когда что-то не так.

Сказав это, Splunk Light имеет некоторые ограничения, которые довольно разумны. Во-первых, объем данных, которые он может использовать, ограничен 500 МБ в день. Если этого недостаточно, вы можете перейти на платную версию Splunk Light, которая может потреблять 20 ГБ журналов в день. Реально, тем не менее, большинство пользователей не получат ничего подобного.

Он также поддерживает только пять пользователей, что не должно быть проблемой для большинства людей, особенно если он работает только на домашних веб-и файловых серверах.

Splunk предлагает облачную версию, которая идеально подходит для тех, кто не хочет устанавливать весь клиент на своих компьютерах, или для тех, у кого есть несколько удаленных серверов. Недостатком этого является огромные затраты. Самый дешевый план Splunk стоит $ 125,00 в месяц. #

Это много денег.

Как вы обрабатываете свои файлы журналов?

Итак, мы рассмотрели способы, которыми вы можете опрашивать ваши файлы журналов и находить информацию, необходимую для устранения неполадок, либо лично, либо с помощью удаленной помощи. Но знаете ли вы какие-нибудь лучшие методы? Используете ли вы программное обеспечение для управления журналами или стандартные утилиты Linux?

Я хочу услышать об этом. Позвольте мне знать в комментариях ниже.

Ссылка на основную публикацию
Adblock
detector