linux 日志分析 linux查看syslog日志
大家好,今天小编来为大家解答linux 日志分析这个问题,linux查看syslog日志很多人还不知道,现在让我们一起来看看吧!
Linux系统日志分析的基本教程
首先,我们将描述有关 Linux日志是什么,到哪儿去找它们,以及它们是如何创建的基础知识
Linux系统日志
许多有价值的日志文件都是由 Linux自动地为你创建的。你可以在/var/log目录中找到它们。下面是在一个典型的 Ubuntu系统中这个目录的样子:
一些最为重要的 Linux系统日志包括:
/var/log/syslog或/var/log/messages存储所有的全局系统活动数据,包括开机信息。基于 Debian的系统如 Ubuntu在/var/log/syslog中存储它们,而基于 RedHat的系统如 RHEL或 CentOS则在/var/log/messages中存储它们。
/var/log/auth.log或/var/log/secure存储来自可插拔认证模块(PAM)的日志,包括成功的登录,失败的登录尝试和认证方式。Ubuntu和 Debian在/var/log/auth.log中存储认证信息,而 RedHat和 CentOS则在/var/log/secure中存储该信息。
/var/log/kern存储内核的错误和警告数据,这对于排除与定制内核相关的故障尤为实用。
/var/log/cron存储有关 cron作业的信息。使用这个数据来确保你的 cron作业正成功地运行着。
Digital Ocean有一个关于这些文件的完整教程,介绍了 rsyslog如何在常见的发行版本如 RedHat和 CentOS中创建它们。
应用程序也会在这个目录中写入日志文件。例如像 Apache,Nginx,MySQL等常见的服务器程序可以在这个目录中写入日志文件。其中一些日志文件由应用程序自己创建,其他的则通过 syslog(具体见下文)来创建。
什么是 Syslog?
Linux系统日志文件是如何创建的呢?答案是通过 syslog守护程序,它在 syslog套接字/dev/log上监听日志信息,然后将它们写入适当的日志文件中。
单词“syslog”代表几个意思,并经常被用来简称如下的几个名称之一:
Syslog守护进程—一个用来接收、处理和发送 syslog信息的程序。它可以远程发送 syslog到一个集中式的服务器或写入到一个本地文件。常见的例子包括 rsyslogd和 syslog-ng。在这种使用方式中,人们常说“发送到 syslog”。
Syslog协议—一个指定日志如何通过网络来传送的传输协议和一个针对 syslog信息(具体见下文)的数据格式的定义。它在 RFC-5424中被正式定义。对于文本日志,标准的端口是 514,对于加密日志,端口是 6514。在这种使用方式中,人们常说“通过 syslog传送”。
Syslog信息— syslog格式的日志信息或事件,它包括一个带有几个标准字段的消息头。在这种使用方式中,人们常说“发送 syslog”。
Syslog信息或事件包括一个带有几个标准字段的消息头,可以使分析和路由更方便。它们包括时间戳、应用程序的名称、在系统中信息来源的分类或位置、以及事件的优先级。
下面展示的是一个包含 syslog消息头的日志信息,它来自于控制着到该系统的远程登录的 sshd守护进程,这个信息描述的是一次失败的登录尝试:
341 2003-10-11T22:14:15.003Z server1.com sshd-- pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=10.0.2.2
Syslog格式和字段
每条 syslog信息包含一个带有字段的信息头,这些字段是结构化的数据,使得分析和路由事件更加容易。下面是我们使用的用来产生上面的 syslog例子的格式,你可以将每个值匹配到一个特定的字段的名称上。
复制代码
代码如下:
%pri%%protocol-version%%timestamp:::date-rfc3339%%HOSTNAME%%app-name%%procid%%msgid%%msg%n
下面,你将看到一些在查找或排错时最常使用的 syslog字段:
时间戳
时间戳(上面的例子为 2003-10-11T22:14:15.003Z)暗示了在系统中发送该信息的时间和日期。这个时间在另一系统上接收该信息时可能会有所不同。上面例子中的时间戳可以分解为:
2003-10-11年,月,日。
T为时间戳的必需元素,它将日期和时间分隔开。
22:14:15.003是 24小时制的时间,包括进入下一秒的毫秒数(003)。
Z是一个可选元素,指的是 UTC时间,除了 Z,这个例子还可以包括一个偏移量,例如-08:00,这意味着时间从 UTC偏移 8小时,即 PST时间。
主机名
主机名字段(在上面的例子中对应 server1.com)指的是主机的名称或发送信息的系统.
应用名
应用名字段(在上面的例子中对应 sshd:auth)指的是发送信息的程序的名称.
优先级
优先级字段或缩写为 pri(在上面的例子中对应)告诉我们这个事件有多紧急或多严峻。它由两个数字字段组成:设备字段和紧急性字段。紧急性字段从代表 debug类事件的数字 7一直到代表紧急事件的数字 0。设备字段描述了哪个进程创建了该事件。它从代表内核信息的数字 0到代表本地应用使用的 23。
Pri有两种输出方式。第一种是以一个单独的数字表示,可以这样计算:先用设备字段的值乘以 8,再加上紧急性字段的值:(设备字段)(8)+(紧急性字段)。第二种是 pri文本,将以“设备字段.紧急性字段”的字符串格式输出。后一种格式更方便阅读和搜索,但占据更多的存储空间。
分析 Linux日志
日志中有大量的信息需要你处理,尽管有时候想要提取并非想象中的容易。在这篇文章中我们会介绍一些你现在就能做的基本日志分析例子(只需要搜索即可)。我们还将涉及一些更高级的分析,但这些需要你前期努力做出适当的设置,后期就能节省很多时间。对数据进行高级分析的例子包括生成汇总计数、对有效值进行过滤,等等。
我们首先会向你展示如何在命令行中使用多个不同的工具,然后展示了一个日志管理工具如何能自动完成大部分繁重工作从而使得日志分析变得简单。
用 Grep搜索
搜索文本是查找信息最基本的方式。搜索文本最常用的工具是 grep。这个命令行工具在大部分 Linux发行版中都有,它允许你用正则表达式搜索日志。正则表达式是一种用特殊的语言写的、能识别匹配文本的模式。最简单的模式就是用引号把你想要查找的字符串括起来。
正则表达式
这是一个在 Ubuntu系统的认证日志中查找“user hoover”的例子:
复制代码
代码如下:
$ grep"user hoover"/var/log/auth.log
Accepted password for hoover from 10.0.2.2 port 4792 ssh2
pam_unix(sshd:session): session opened for user hoover by(uid=0)
pam_unix(sshd:session): session closed for user hoover
构建精确的正则表达式可能很难。例如,如果我们想要搜索一个类似端口“4792”的数字,它可能也会匹配时间戳、URL以及其它不需要的数据。Ubuntu中下面的例子,它匹配了一个我们不想要的 Apache日志。
复制代码
代码如下:
$ grep"4792"/var/log/auth.log
Accepted password for hoover from 10.0.2.2 port 4792 ssh2
74.91.21.46-- [31/Mar/2015:19:44:32+0000]"GET/scripts/samples/search?q=4972 HTTP/1.0" 404 545"-""-”
环绕搜索
另一个有用的小技巧是你可以用 grep做环绕搜索。这会向你展示一个匹配前面或后面几行是什么。它能帮助你调试导致错误或问题的东西。B选项展示前面几行,A选项展示后面几行。举个例子,我们知道当一个人以管理员员身份登录失败时,同时他们的 IP也没有反向解析,也就意味着他们可能没有有效的域名。这非常可疑!
复制代码
代码如下:
$ grep-B 3-A 2'Invalid user'/var/log/auth.log
Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: reverse mapping checking getaddrinfo for 216-19-2-8.commspeed.net [216.19.2.8] failed- POSSIBLE BREAK-IN ATTEMPT!
Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]
Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Invalid user admin from 216.19.2.8
Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: input_userauth_request: invalid user admin [preauth]
Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]
Tail
你也可以把 grep和 tail结合使用来获取一个文件的最后几行,或者跟踪日志并实时打印。这在你做交互式更改的时候非常有用,例如启动服务器或者测试代码更改。
复制代码
代码如下:
$ tail-f/var/log/auth.log| grep'Invalid user'
Apr 30 19:49:48 ip-172-31-11-241 sshd[6512]: Invalid user ubnt from 219.140.64.136
Apr 30 19:49:49 ip-172-31-11-241 sshd[6514]: Invalid user admin from 219.140.64.136
关于 grep和正则表达式的详细介绍并不在本指南的范围,但 Ryan’s Tutorials有更深入的介绍。
日志管理系统有更高的性能和更强大的搜索能力。它们通常会索引数据并进行并行查询,因此你可以很快的在几秒内就能搜索 GB或 TB的日志。相比之下,grep就需要几分钟,在极端情况下可能甚至几小时。日志管理系统也使用类似 Lucene的查询语言,它提供更简单的语法来检索数字、域以及其它。
用 Cut、 AWK、和 Grok解析
Linux提供了多个命令行工具用于文本解析和分析。当你想要快速解析少量数据时非常有用,但处理大量数据时可能需要很长时间。
Cut
cut命令允许你从有分隔符的日志解析字段。分隔符是指能分开字段或键值对的等号或逗号等。
假设我们想从下面的日志中解析出用户:
复制代码
代码如下:
pam_unix(su:auth): authentication failure; logname=hoover uid=1000 euid=0 tty=/dev/pts/0 ruser=hoover rhost= user=root
我们可以像下面这样用 cut命令获取用等号分割后的第八个字段的文本。这是一个 Ubuntu系统上的例子:
复制代码
代码如下:
$ grep"authentication failure"/var/log/auth.log| cut-d'='-f 8
root
hoover
root
nagios
nagios
AWK
另外,你也可以使用 awk,它能提供更强大的解析字段功能。它提供了一个脚本语言,你可以过滤出几乎任何不相干的东西。
例如,假设在 Ubuntu系统中我们有下面的一行日志,我们想要提取登录失败的用户名称:
复制代码
代码如下:
Mar 24 08:28:18 ip-172-31-11-241 sshd[32701]: input_userauth_request: invalid user guest [preauth]
你可以像下面这样使用 awk命令。首先,用一个正则表达式/sshd.*invalid user/来匹配 sshd invalid user行。然后用{ print$9}根据默认的分隔符空格打印第九个字段。这样就输出了用户名。
复制代码
代码如下:
$ awk'/sshd.*invalid user/{ print$9}'/var/log/auth.log
guest
admin
info
test
ubnt
你可以在 Awk用户指南中阅读更多关于如何使用正则表达式和输出字段的信息。
日志管理系统
日志管理系统使得解析变得更加简单,使用户能快速的分析很多的日志文件。他们能自动解析标准的日志格式,比如常见的 Linux日志和 Web服务器日志。这能节省很多时间,因为当处理系统问题的时候你不需要考虑自己写解析逻辑。
下面是一个 sshd日志消息的例子,解析出了每个 remoteHost和 user。这是 Loggly中的一张截图,它是一个基于云的日志管理服务。
你也可以对非标准格式自定义解析。一个常用的工具是 Grok,它用一个常见正则表达式库,可以解析原始文本为结构化 JSON。下面是一个 Grok在 Logstash中解析内核日志文件的事例配置:
复制代码
代码如下:
filter{
grok{
match={"message"="%{CISCOTIMESTAMP:timestamp}%{HOST:host}%{WORD:program}%{NOTSPACE}%{NOTSPACE}%{NUMBER:duration}%{NOTSPACE}%{GREEDYDATA:kernel_logs}"
}
}
下图是 Grok解析后输出的结果:
用 Rsyslog和 AWK过滤
过滤使得你能检索一个特定的字段值而不是进行全文检索。这使你的日志分析更加准确,因为它会忽略来自其它部分日志信息不需要的匹配。为了对一个字段值进行搜索,你首先需要解析日志或者至少有对事件结构进行检索的方式。
如何对应用进行过滤
通常,你可能只想看一个应用的日志。如果你的应用把记录都保存到一个文件中就会很容易。如果你需要在一个聚集或集中式日志中过滤一个应用就会比较复杂。下面有几种方法来实现:
用 rsyslog守护进程解析和过滤日志。下面的例子将 sshd应用的日志写入一个名为 sshd-message的文件,然后丢弃事件以便它不会在其它地方重复出现。你可以将它添加到你的 rsyslog.conf文件中测试这个例子。
复制代码
代码如下:
:programname, isequal,“sshd”/var/log/sshd-messages
~
用类似 awk的命令行工具提取特定字段的值,例如 sshd用户名。下面是 Ubuntu系统中的一个例子。
复制代码
代码如下:
$ awk'/sshd.*invalid user/{ print$9}'/var/log/auth.log
guest
admin
info
test
ubnt
用日志管理系统自动解析日志,然后在需要的应用名称上点击过滤。下面是在 Loggly日志管理服务中提取 syslog域的截图。我们对应用名称“sshd”进行过滤,如维恩图图标所示。
如何过滤错误
一个人最希望看到日志中的错误。不幸的是,默认的 syslog配置不直接输出错误的严重性,也就使得难以过滤它们。
这里有两个解决该问题的方法。首先,你可以修改你的 rsyslog配置,在日志文件中输出错误的严重性,使得便于查看和检索。在你的 rsyslog配置中你可以用 pri-text添加一个模板,像下面这样:
复制代码
代码如下:
"%pri-text%:%timegenerated%,%HOSTNAME%,%syslogtag%,%msg%n"
这个例子会按照下面的格式输出。你可以看到该信息中指示错误的 err。
复制代码
代码如下:
: Mar 11 18:18:00,hoover-VirtualBox,su[5026]:, pam_authenticate: Authentication failure
你可以用 awk或者 grep检索错误信息。在 Ubuntu中,对这个例子,我们可以用一些语法特征,例如.和,它们只会匹配这个域。
复制代码
代码如下:
$ grep'.err'/var/log/auth.log
: Mar 11 18:18:00,hoover-VirtualBox,su[5026]:, pam_authenticate: Authentication failure
你的第二个选择是使用日志管理系统。好的日志管理系统能自动解析 syslog消息并抽取错误域。它们也允许你用简单的点击过滤日志消息中的特定错误。
下面是 Loggly中一个截图,显示了高亮错误严重性的 syslog域,表示我们正在过滤错误:
Linux系统怎么分析Nginx日志
Linux系统下Nginx日志可以查看系统运行记录和出错说明,对Nginx日志的分析可以了解系统运行的状态。那么Linux系统Nginx日志怎么分析呢?
Nginx日志相关配置有 2个地方:access_log和 log_format。
默认的格式:
access_log/data/logs/nginx-access.log;
log_format old‘$remote_addr[$time_local]$status$request_time$body_bytes_sent’
‘“$request”“$http_referer”“$http_user_agent”’;
相信大部分用过 Nginx的人对默认 Nginx日志格式配置都很熟悉,对日志的内容也很熟悉。但是默认配置和格式虽然可读,但是难以计算。
Nginx日志刷盘相关策略可配置:
比如,设置 buffer,buffer满 32k才刷盘;假如 buffer不满 5s钟强制刷盘的配置如下:
access_log/data/logs/nginx-access.log buffer=32k flush=5s;
这决定了是否实时看到日志以及日志对磁盘 IO的影响。
Nginx日志能够记录的变量还有很多没出现在默认配置中:
比如:
请求数据大小:$request_length
返回数据大小:$bytes_sent
请求耗时:$request_time
所用连接序号:$connection
当前连接发生请求数:$connection_requests
Nginx的默认格式不可计算,需要想办法转换成可计算格式,比如用控制字符 ^A(Mac下 ctrl+v ctrl+a打出)分割每个字段。
log_format的格式可以变成这样:
log_format new‘$remote_addr^A$http_x_forwarded_for^A$host^A$time_local^A$status^A’
‘$request_time^A$request_length^A$bytes_sent^A$http_referer^A$request^A$http_user_agent’;
这样之后就通过常见的 Linux命令行工具进行分析了:
查找访问频率最高的 URL和次数:
cat access.log| awk-F‘^A’‘{print$10}’| sort| uniq-c
查找当前日志文件 500错误的访问:
cat access.log| awk-F‘^A’‘{if($5== 500) print$0}’
查找当前日志文件 500错误的数量:
cat access.log| awk-F‘^A’‘{if($5== 500) print$0}’| wc-l
查找某一分钟内 500错误访问的数量:
cat access.log| awk-F‘^A’‘{if($5== 500) print$0}’| grep’09:00’| wc-l
查找耗时超过 1s的慢请求:
tail-f access.log| awk-F‘^A’‘{if($6》1) print$0}’
假如只想查看某些位:
tail-f access.log| awk-F‘^A’‘{if($6》1) print$3″|”$4}’
查找 502错误最多的 URL:
cat access.log| awk-F‘^A’‘{if($5==502) print$11}’| sort| uniq-c
查找 200空白页
cat access.log| awk-F‘^A’‘{if($5==200&&$8《 100) print$3″|”$4″|”$11″|”$6}’
查看实时日志数据流
tail-f access.log| cat-e
或者
tail-f access.log| tr‘^A’‘|’
照着这个思路可以做很多其他分析,比如 UA最多的访问;访问频率最高的 IP;请求耗时分析;请求返回包大小分析;等等。
这就是一个大型 Web日志分析系统的原型,这样的格式也是非常方便进行后续大规模 batching和 streaming计算。
以上就是Linux系统Nginx日志怎么分析的全部内容了,可以看出来Nginx日志还是有很强大的作用的。
linux中怎样查看日志
方法/步骤
先必须了解两个最基本的命令:
tail-n 10 test.log查询日志尾部最后10行的日志;
tail-n+10 test.log查询10行之后的所有日志;
head-n 10 test.log查询日志文件中的头10行日志;
head-n-10 test.log查询日志文件除了最后10行的其他所有日志;
场景1:按行号查看---过滤出关键字附近的日志
因为通常时候我们用grep拿到的日志很少,我们需要查看附近的日志.
我是这样做的,首先: cat-n test.log|grep"地形"得到关键日志的行号
<3>得到"地形"关键字所在的行号是102行.此时如果我想查看这个关键字前10行和后10行的日志:
cat-n test.log|tail-n+92|head-n 20
tail-n+92表示查询92行之后的日志
head-n 20则表示在前面的查询结果里再查前20条记录
场景2:那么按日期怎么查呢?通常我们非常需要查找指定时间端的日志
sed-n'/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p' test.log
特别说明:上面的两个日期必须是日志中打印出来的日志,否则无效.
关于日期打印,可以先 grep'2014-12-17 16:17:20' test.log来确定日志中是否有该时间点,以确保第4步可以拿到日志
这个根据时间段查询日志是非常有用的命令.
如果我们查找的日志很多,打印在屏幕上不方便查看,有两个方法:
(1)使用more和less命令,如: cat-n test.log|grep"地形"|more这样就分页打印了,通过点击空格键翻页
(2)使用>xxx.txt将其保存到文件中,到时可以拉下这个文件分析.如:
cat-n test.log|grep"地形">xxx.txt
这几个日志查看方法应该可以满足日常需求了.
