分析和存储日志

已于 2023-08-10 14:57:49 修改
阅读量49 收藏
点赞数
分类专栏: Linux入门 红帽认证 RHCSA 文章标签: 服务器 linux 运维
于 2023-08-10 01:07:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52444573/article/details/132187606
版权
Linux入门 同时被 3 个专栏收录
21 篇文章 0 订阅
订阅专栏
红帽认证
21 篇文章 0 订阅
订阅专栏
RHCSA
21 篇文章 0 订阅
订阅专栏

系统日志

进程和内核都会记录日志,有助于进行故障排除
系统日志保存在 /var/log 目录中,使用 less tail 命令可以查看
RHEL 日志基于 Syslog 协议, systemd-journald rsyslog 服务处理 syslog 日志
systemd-journald 是日志架构核心,记录几乎所有事件消息并存放到带索引的数据库中,包括内核、引导过程早期的输出;守护进程的标准输出及标准错误等
systemd-journald 默认将日志记录在内存中
rsyslog 从数据库中读取 systemd-journald 的日志,按照配置文件的定义进行存放。rsyslog 对日志按照优先级进行分类存放

日志文件类型

将事件记录到系统

日志记录具有 8 个优先级

/etc/rsyslog.conf 是全局配置文件,/etc/rsyslog.d/*.conf 为个性化配置文件

在 /etc/rsyslog.d/ 目录中,可以有多个以 .conf 结尾的文件,每个文件可以包含特定模块或功能的配置。这种方式可以使配置更加清晰,方便管理和维护。

以 /etc/rsyslog.d/*.conf 表示的文件模式意味着匹配 /etc/rsyslog.d/ 目录下的所有以 .conf 结尾的文件。

日志文件轮转

logrotate 工具轮转日志文件,防止 /var/log 空间被占满
轮转时,重命名日志文件(添加时间戳),并创建新的日志文件
轮转若干次(默认 4 次),丢弃最旧的日志文件,释放磁盘空间
每天都会计划运行 logrotate 程序,轮转频率依据配置文件定义

分析 syslog 条目

日志文件在末尾显示最新的信息,信息记录采用标准格式,以 /var/log/secure 举例:
1. 日志条目的时间戳
2. 发送信息的主机
3. 发送信息的程序名称和 PID 编号
4. 具体信息

监控日志

使用命令 tail -f /path/to/file 输出指定文件的最后10行,并在新行写入文件时继续输出它们
 可以边运行命令,边监控日志

查找事件

systemd-journald 将日志存放在带索引的结构化二进制 journal 文件中,存放在 /run/log 目录中
journalctl 命令可用于检索日志信息,以 root 用户执行对日志具有完全访问权限,普通用户访问可能被限制查看某些消息
error 及以上的日志显示为红色文本
journalctl -n 指定显示最后 10 条日志,也可以指定条目数量
journalctl -f 刷新日志
journalctl -p debug info notice warning err crit alert emerg
别显示该级别及其之上的日志

journalctl --since --until "YYYY-MM-DDhh:mm:ss” yesterday today 和 tomorrow 可以指定日志时间段
# 列出今天记录中的所有日志条目
# 列出从2019-2-10 20:30:00 到2019-02-13 12:00:00 的所有日志条目
# 列出上一小时的所有条目

journalctl -o verbose 显示更加详细的日志信息
journalctl 配合以下字段,可以搜索特定内容的日志:
_COMM 是命令的名称
_EXE 是进程的可执行文件的路径
_PID 是进程的 PID
_UID 是运行该进程的用户的 UID
_SYSTEMD_UNIT 是启动该进程的 systemd 单元  (环境变量)
#显示PID为1182的sshd.service文件的systemd进程单元相关的所有日志条目

永久保存 system journal

永久保存系统日志

默认情况下, system journal 保存在内存 /run/log/journal 目录中,系统重启会被清除
修改 /etc/systemd/journald.conf Storage 参数可以设置日志永久保存:
- persistent :永久保存在 /var/log/journal 目录中
- voltile :临时保存在 /run/log/journal 目录中
- auto (默认):如果有 /var/log/journal 目录存在,则永久保存,如果没有则临时保存
日志大小受到轮转机制限制:默认情况下,日志的大小不能超过所处文件系统的 10% ,也不能造成文件系统的可用空间低于 15% ,此值可以在 /etc/systemd/journald.conf 中设置
 日志空间占用情况可以参考:
配置文件修改完毕记得 重启 systmed-journald 服务

设置本地时钟和时区

保证系统的准确时间,并及时同步时间非常重要
时间同步采用 NTP 协议
timedatectl 命令显示系统时钟信息
timedatectl list-timezones 可以列出时区数据库, tzselect 命令可以协助选择正确的时区

timedatectl set-timezone 可以设置时区 timedatectl set-time 可以设置时间

 timedatectl set-ntp true | false 命令可开启或禁用 NTP(自动调整时间)

配置和监控 chronyd

chronyd 服务通过与配置的 NTP 服务器进行同步,使通常不准确的本地硬件时钟 (RTC) 保持正确运行。如果没有可用的网络连接, chronyd 将计算 RTC 的时钟漂移,并记录在 /etc/chrony.conf 配置文件指定的 driftfile 变量中
修改配置后,需要 systemctl restart chronyd
使用 chronyc sources -v 查看是否进行时钟同步包含额外说明的更详细输出

往事♚隔春秋
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Doris在日志分析中的应用
03-29 5万+
使用basic auth进行 HTTP 鉴权,用命令来计算设置,指定数据格式为 JSON设置,指定每行一个 JSON设置,指定一次写入一个分桶目前建议写入客户端一个 Batch 100MB ~ 1GB,后续版本会通过服务端 Group Commit 降低客户端 Batch 大小curl \查询Doris 支持标准 SQL,可以通过 MySQL客 户端或者通过 JDBC 等方式连接到集群,然后执行 SQL 进行查询。下面是日志分析场景中,常见的几种查询。查看最新的 10 条数据。
日志分析
兰枫
05-18 1683
文章目录日志分析概述加载日志文件,解析日志生产者消费者模型数据处理流程分发器的实现IP分析器完整代码如下 日志分析 概述 生成中会生成大量的系统日志、应用程序日志、安全日志等等日志,通过对日志分析可以了解服务器的负载、健 康状况,可以分析客户的分布情况、客户的行为,甚至基于这些分析可以做出预测。 一般采集流程 日志产出 -> 采集(Logstash、Flume、Scribe) -> ...
移动端日志采集与分析最佳实践
观测云的博客
04-24 1379
本文将介绍日志采集的重要性、移动端日志的采集方式,最后介绍下如何通过观测云对移动端日志进行深度洞察和分析
Windows 事件日志分析管理
ITmoster的博客
03-10 1368
EventLog Analyzer 是一款称职的日志管理工具,可以收集、分析和存档事件日志以及多种其他日志格式,以确保网络安全。
ELK日志分析工具
zhouziyu00的博客
07-19 1262
ELK 概述 一、ELK简介 1ELK平台由ElasticSearch、Logstash 和 Kiabana 三个开源工具组成 1,ElasticSearch:是基于Lucene(一个全文检索引擎的架构)开发的分布式存储检索引擎,用来存储各类日志。 优点是能对大容量的数据进行接近实时的存储、搜索和分析操作。 2,Logstash:作为数据收集引擎。一款强大的数据处理工具, 可以实现数据传输、格式处理、格式化输出。 3,Kiabana:是基于 Node.js 开发的展示工具,可以为 Logstash
日志分析存储
m0_55834564的博客
08-16 843
系统和程序的“日记本”−记录系统、程序运行中发生的各种事件−通过查看日志,了解及排除故障−信息安全控制的“依据”
Windows安全日志分析
安全狐
11-16 1万+
Windows的日志文件主要有系统日志、应用程序日志、安全日志这三类,另外,根据不同的系统服务配置可能还会产生其他的日志文件,如Powershell日志、WWW日志、FTP日志、DNS服务器日志等。这些日志文件由Windows的EventLog服务生成并记录,EventLog服务由Windows服务管理器(%SystemRoot%\system32\services.exe)启动并管理。
大数据日志分析系统-hdfs日志存储
u014171282的博客
02-28 5186
先补充spark的博客链接,没在目录显示hdfs简介:Hadoop分布式文件系统(HDFS)被设计成适合运行在通用硬件(commodity hardware)上的分布式文件系统。项目需求:使用hdfs进行客户需要的指定域名时间打包日志 以及原始日志存储进行离线计算遇到的问题:在这一步遇到的一个重要的问题:问题:从kafka中日志直接按域名时间分类存入hdfs时速度不够,主要时数据量太大,当数据量减...
linux系统日志message 分析,Linux系统日志日志分析
热门推荐
weixin_42492215的博客
05-01 1万+
Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。大部分Linux发行版默认的日志守护进程为 syslog,位于 /etc/syslog 或 /etc/syslogd,默认配置文件为 /etc/syslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息。Linux系统内核和许多程序会产生各种错误信息、警告信息和其他的提示信息...
ELK日志分析
Drw_Dcm的博客
10-10 2561
ELK日志分析
SQLSERVER日志分析工具
01-05
SQLSERVER日志分析工具是一种专门针对Microsoft SQL Server数据库系统设计的实用软件,旨在帮助数据库管理员和开发者有效地管理和解析SQL Server的日志数据。日志分析在数据库管理中扮演着至关重要的角色,因为它能...
RHCE_U4 分析存储日志
12-01
log管理,分析。rsyslog简单配置
liunxELK日志分析实验包
07-04
Linux ELK日志分析实验包是一个综合性的工具集,用于收集、处理、存储分析Linux系统及应用的日志数据。这个实验包的核心是ELK Stack,由Elasticsearch、Logstash和Kibana三个组件组成,它们各自在日志管理中扮演着...
光年日志分析工具.zip
08-08
光年日志分析工具是一款专为网站管理员...总而言之,光年日志分析工具是网站运维和优化过程中的得力助手,通过解析和解读网站日志,它提供了宝贵的洞察,帮助用户优化网站性能,提升用户体验,同时确保网站的安全运行。
快速搭建ELK日志分析系统
01-27
ELK是Elasticsearch、Logstash、Kibana的简称,这三者是核心套件,但并非全部。...它支持几乎任何类型的日志,包括系统日志、错误日志和自定义应用程序日志。它可以从许多来源接收日志,这些来源包
VPS拨号服务器:独享的高效与安全
qq_34245974的博客
07-06 633
本文将深入探讨VPS拨号服务器的独享特性,以及它如何提供更高效的服务和更强的安全保障。总之,VPS拨号服务器的独享特性为用户提供了一个高效、安全且灵活的网络环境,特别适合那些对服务器性能和安全性有高要求的业务需求。随着技术的不断进步,我们有理由相信,VPS拨号服务器将在未来的互联网架构中扮演越来越重要的角色。VPS拨号服务器是一种特殊的服务器,它结合了传统的VPS功能与动态IP地址分配能力。数据隔离:独享服务器保证了数据的隔离性,降低了数据泄露的风险。自定义安全策略:可以根据业务需求实施定制化的安全措施。
【qt】TCP的监听 (设置服务器IP地址和端口号)
qq_74047911的博客
07-07 226
当一个TCP服务器程序启动时,它会绑定到一个特定的IP地址和一个端口号上,以便可以接收来自该IP地址和端口号的传入连接请求.我们是从下拉框选的,都是QString类型,我们要进行转换.端口号可以自己设置,范围在0~65535也就是两个字节.但是0~1024一般不可以设置,操作系统用了已经.所以我们要先来获取主机的IP地址和设置端口号.TCP监听是在自己的IP地址上进行的。(),参数是ip地址和端口号.()来获取服务器的ip地址。()来获取服务器的地址.协议,我们需要使用到。获取到主机的IP地址。
服务器提交记录有Merge branch消除
最新发布
绿色落日的博客
07-10 178
背景:在共同开发分支release上,你提交了commit,push到服务器上时,发现有人先比你push了,所以你得先pull, 后再push,然而pull后自动产生了一个Merge branch的一个commit,这个commit本身没有任何提交内容,而你直接push到服务器上了,于是服务 器产生了这样的commit log,想要消除服务器上的这条Merge commit,那么可以尝试下面的方法。可以rebase到以前的commit id上,然后:wq保存后,就会消除,再强制提交到服务器覆盖掉。
转发服务器实验
qq_65017742的博客
07-06 425
【代码】转发服务器实验。
搭建日志服务器ELK
11-25
ELK是一个由logstash、Elasticsearch和Kibana这三个开源工具组成的日志管理和分析平台。logstash负责收集、过滤和转换日志数据,然后将其发送给Elasticsearch进行存储和索引。Kibana则是用于展示和搜索日志数据的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值