完美世界前传下载,好看的言情小说,盗墓笔记全集

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案

「輕松掌握」Linux開源日志分析工具使用方法 (linux 開源日志分析工具)

隨著互聯(lián)網(wǎng)技術(shù)的不斷發(fā)展，服務(wù)器的運(yùn)維管理也變得越來越復(fù)雜。面對(duì)龐大的服務(wù)器群，如何快速定位和解決各種故障成為運(yùn)維工作中的一大挑戰(zhàn)。在這個(gè)過程中，日志分析工具成為了不可或缺的一部分。

創(chuàng)新互聯(lián)長(zhǎng)期為上1000+客戶提供的網(wǎng)站建設(shè)服務(wù)，團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年，關(guān)注不同地域、不同群體，并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù)；打造開放共贏平臺(tái)，與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為西崗企業(yè)提供專業(yè)的網(wǎng)站建設(shè)、網(wǎng)站制作，西崗網(wǎng)站改版等技術(shù)服務(wù)。擁有十余年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開發(fā)。

日志分析是一種基于日志的數(shù)據(jù)挖掘技術(shù)。通過對(duì)應(yīng)用程序、操作系統(tǒng)和網(wǎng)絡(luò)設(shè)備等系統(tǒng)產(chǎn)生的各種日志進(jìn)行收集、過濾、統(tǒng)計(jì)、分析和展示，從中獲取有價(jià)值的信息。

Linux系統(tǒng)中，常用的日志文件包括/var/log/messages、/var/log/secure、/var/log/mllog等，記錄了系統(tǒng)故障、安全事件、郵件發(fā)送等各種操作。

為了更好地分析這些日志數(shù)據(jù)，Linux社區(qū)開發(fā)了很多開源的日志分析工具，如ELK、Graylog、Fluentd等。在此，我們介紹其中一款經(jīng)典的日志分析工具——Logwatch的使用方法。

一、Logwatch介紹

Logwatch是一款基于Perl語言編寫的開源日志分析工具，可以定期對(duì)Linux系統(tǒng)的日志文件進(jìn)行統(tǒng)計(jì)和分析，并生成詳細(xì)的報(bào)告。其主要特點(diǎn)為：易于安裝、使用方便、數(shù)據(jù)格式清晰、定制性強(qiáng)。

二、安裝Logwatch

在CentOS系統(tǒng)中，我們可以使用yum命令安裝Logwatch，命令如下：

“`

sudo yum install logwatch -y

“`

安裝完成后，我們需要進(jìn)行一些配置。

三、配置Logwatch

Logwatch的配置文件為/etc/logwatch/conf/logwatch.conf。我們可以根據(jù)系統(tǒng)具體情況進(jìn)行定制。

1. 郵件通知設(shè)置

Logwatch可以將分析結(jié)果發(fā)送至指定的郵箱中。我們可以在配置文件中添加以下內(nèi)容，用于設(shè)置郵件服務(wù)器信息和接收日志報(bào)告的郵箱地址：

“`

MlTo = [email protected]

MlFrom = [email protected]

# TP服務(wù)器地址

MlServer = tp.example.com

“`

2. 日志文件設(shè)置

我們需要在配置文件中添加需要分析的日志文件路徑，一般主要包括/var/log/messages、/var/log/secure、/var/log/mllog等，具體示例如下：

“`

LogFile = /var/log/messages

LogFile = /var/log/secure

LogFile = /var/log/mllog

“`

3. 日志報(bào)告定制

Logwatch默認(rèn)會(huì)生成一份全面的日志報(bào)告，但我們可以根據(jù)需要進(jìn)行精簡(jiǎn)或添加一些特定的信息。以下示例為添加Apache服務(wù)器的日志信息：

“`

# Apache日志統(tǒng)計(jì)

$ cat /var/log/httpd/access_log | logresolve |awk ‘($9 !~ /200|304/){print}’ | sort | uniq -c | sort -n > /tmp/access_log_summary

cat /tmp/access_log_summary

“`

這條命令實(shí)際上是將Apache日志文件進(jìn)行了過濾、統(tǒng)計(jì)和排序，最后將結(jié)果保存到了/tmp/access_log_summary文件中。我們可以將其添加到配置文件中，使Logwatch在生成報(bào)告時(shí)自動(dòng)包含該信息。

四、使用Logwatch

1. 手動(dòng)運(yùn)行Logwatch命令

Logwatch的常用命令為logwatch，我們可以手動(dòng)運(yùn)行該命令以執(zhí)行日志分析：

“`

logwatch

“`

執(zhí)行完成后，Logwatch將輸出一份詳細(xì)的報(bào)告，其中包括系統(tǒng)概覽、登錄嘗試、磁盤使用情況、郵件發(fā)送統(tǒng)計(jì)等各種信息。

2. 定時(shí)運(yùn)行Logwatch

為了方便、自動(dòng)地獲取日志分析結(jié)果，我們可以通過crontab定時(shí)執(zhí)行Logwatch命令。以下示例為每天凌晨1點(diǎn)自動(dòng)運(yùn)行Logwatch命令：

“`

0 1 * * * /usr/in/logwatch

“`

五、小結(jié)

Logwatch是一款簡(jiǎn)單易用、功能強(qiáng)大的開源日志分析工具，可以幫助Linux系統(tǒng)管理員快速定位和解決故障。通過本文的介紹，相信讀者已經(jīng)掌握了Logwatch的安裝、配置和使用方法，可以在實(shí)際工作中更加高效地處理日常的運(yùn)維問題。

相關(guān)問題拓展閱讀：

Linux系統(tǒng)日志怎么查看
linux日志 audit

Linux系統(tǒng)日志怎么查看

1. 前言

在Linux日常管理中，我們肯定有查看某些服務(wù)的日志需求，或者是系統(tǒng)本身的日志。本文主要介紹如何查看Linux的

系統(tǒng)日志

，包括文件的路徑、工具的使用等等。會(huì)看Linux日志是非常重要的，不僅在日常操作中可以迅速排錯(cuò)，也可以快速的定位。

2. 如何查看Linux日志

Linux日志文件的路徑一般位于,/var/log/，比如ngix的日志路徑為/var/log/nginx/，如果要查看某服務(wù)的日志，還可以使用systemctl status xxx，比如查看ssh服務(wù)的壯態(tài)，systemctl status sshd

查看Linux某服務(wù)的日志

Liunx的

配置文件

在/etc/rsyslog.d里，可以看到如下信息

在

linux系統(tǒng)

當(dāng)中，有三個(gè)主要的日志子系統(tǒng)：

1、連接時(shí)間日志：由多個(gè)程序執(zhí)行，把記錄寫入到/var/log/wtmp和/var/run/utmp，

login等程序會(huì)更新wtmp和utmp文件，使系統(tǒng)管理員能夠跟蹤誰在何時(shí)登錄到系統(tǒng)。

2、進(jìn)程統(tǒng)計(jì)：由系統(tǒng)內(nèi)核執(zhí)行，當(dāng)一個(gè)進(jìn)程終止時(shí)，為每個(gè)進(jìn)程往進(jìn)程統(tǒng)計(jì)文件中寫一個(gè)記錄。進(jìn)程統(tǒng)計(jì)的目的是為系統(tǒng)中的基本服務(wù)提供命令使用統(tǒng)計(jì)

3、錯(cuò)誤日志：由rsyslogd守護(hù)程序執(zhí)行，各種系統(tǒng)

守護(hù)進(jìn)程

、用戶程序和內(nèi)核通過rsyslogd守護(hù)程序向文件/var/log/messages報(bào)告值得注意的時(shí)間。另外有許多l(xiāng)inux程序創(chuàng)建日志，像HTTP和FTP這樣提供的服務(wù)器也保持詳細(xì)的日志。

4、其他日志……

查看Linux日志默認(rèn)路徑

可以看到在/var/log目錄下存在很多的日志文件，接下來就對(duì)里面的一些常用日志文件進(jìn)行分析

主要日志文件介紹：

內(nèi)核及公共消息日志:/var/log/messages

計(jì)劃任務(wù)日志：/var/log/cron

系統(tǒng)引導(dǎo)日志：/var/log/dmesg

郵件系統(tǒng)日志:/var/log/maillog

用戶登錄日志：/var/log/lastlog

/var/log/boot.log（記錄系統(tǒng)在引導(dǎo)過程中發(fā)生的時(shí)間）

/var/log/secure (用戶驗(yàn)證相關(guān)的安全性事件)

/var/log/wtmp(當(dāng)前登錄用戶詳細(xì)信息)

/var/log/btmp（記錄失敗的的記錄）

/var/run/utmp（用戶登錄、注銷及系統(tǒng)開、關(guān)等事件）

日志文件詳細(xì)介紹：

/var/log/secure

Linux系統(tǒng)安全日志，記錄用戶和工作組的情況、用戶登陸認(rèn)證情況

例子：我創(chuàng)建了一個(gè)zcwyou的用戶，然后改變了該用戶的密碼，于是該信息就被記錄到該日志下

Linux系統(tǒng)安全日志默認(rèn)路徑

該日志就詳細(xì)的記錄了作的過程。

內(nèi)核及公共信息日志，是許多進(jìn)程日志文件氏答唯的匯總，從該文件中可以看出系統(tǒng)任何變化

查看

Linux內(nèi)核

及公共信息日志

系統(tǒng)引導(dǎo)日志

該日志使用dmesg命令快速查看最后一次系統(tǒng)引導(dǎo)的引導(dǎo)日志

查看Linux系統(tǒng)系統(tǒng)引導(dǎo)日志

最近的用戶登錄事件，一般記錄最后一次的登錄事件

該日志不能用諸如cat、tail等查看，因?yàn)樵撊罩纠锩媸嵌M(jìn)制文件，可以用lastlog命令查看，它根據(jù)UID排序顯示登錄名、

端口號(hào)

（tty）和上次登錄時(shí)間。如果一個(gè)用戶從未登錄過，lastlog顯示 Never logged。

該日志文件永久記錄每個(gè)用戶登錄、注銷殲培及系統(tǒng)的啟動(dòng)、停機(jī)的事件。該日志為二進(jìn)制文件，不能用諸如tail/cat/等命令，使用last命令查看。

記錄郵件的收發(fā)

此文件是記錄錯(cuò)誤登錄的日志，可以記錄有人使用暴力破解ssh服務(wù)的日志。該文件用lastb打開

該日志記錄當(dāng)前用戶登錄的情況，不會(huì)永久保存記錄。可以用who/w命令來查看

3. 常用的日志分析工具與使用方法

3.1 統(tǒng)計(jì)一個(gè)文本中包含字符個(gè)數(shù)

3.2 查看當(dāng)天訪問排行前10的url

3.3 查看apache的進(jìn)程數(shù)

3.4 訪問量前10的IP

cut部分表示取第1列即IP列，取第4列則為URL的訪問量

3.5 查看最耗時(shí)的舉薯頁面

按第2列響應(yīng)時(shí)間逆序排序

3.6 使用grep查找文件中指定字符出現(xiàn)的次數(shù)

-o 指示grep顯示所有匹配的地方，并且每一個(gè)匹配單獨(dú)一行輸出。這樣只要統(tǒng)計(jì)輸出的行數(shù)就可以知道這個(gè)字符出現(xiàn)的次數(shù)了。

4. 總結(jié)

查看Linux日志需求了解和熟悉使用一些常用的工具方能提升我們的查找和定位效率。比如使用 Grep 搜索，使用Tail命令，使用Cut，使用AWK 和 Grok 解析日志和使用 Rsyslog 和 AWK 過濾等等，只要能掌握這些工具。我們才能高效地處理和定位故障點(diǎn)。

linux日志 audit

我們知道在Linux系統(tǒng)中有大量的日志文件可以用于查看

應(yīng)用程序

的各種信息，但是對(duì)于用戶的操作行為（如某用者螞源戶修改刪除了某文件）卻無法通過這些日志文件來查看，如果我們想實(shí)現(xiàn)監(jiān)管企業(yè)員工的操作行為就需要開啟審計(jì)功能，也就是audit。

1、首先執(zhí)行以下命令開啟auditd服務(wù)

| 1 | service auditd start |

2、接著首態(tài)查看看auditd的服務(wù)狀態(tài)，有兩種方法可以實(shí)現(xiàn)，使用auditctl命令時(shí)主要看enabled是否為1，1為開啟，0為關(guān)閉

“# service auditd status` |

`auditd (pid) is running…

“# auditctl -s

| 5 | AUDIT_STATUS: enabled=1 flag=1 pid=20234 rate_limit=0 backlog_limit=320 lost=0 backlog=0 |

3、開啟了autid服務(wù)后，所有的審計(jì)日志會(huì)記錄在/var/log/audit/audit.log文件中，該文件記錄格式是每行以type開頭，其中紅框處是事件發(fā)生的時(shí)間（代表從1970年1月1日到現(xiàn)在過了多久，可以用date命令轉(zhuǎn)換格式），冒號(hào)后面的數(shù)字是事件ID，同一個(gè)事件ID是一樣的。

4、audit可以自定義對(duì)指定的文件或命令進(jìn)行審計(jì)（如監(jiān)視r(shí)m命令被執(zhí)行、/etc/passwd文件內(nèi)容被改變），只要配置好對(duì)應(yīng)規(guī)則即可，配置規(guī)則可以通過

命令行

（臨時(shí)生效）或者編輯

配置文件物肢

（永久生效）兩種方式來實(shí)現(xiàn)。

命令行語法（臨時(shí)生效****）****：

| 1 | auditctl -w /bin/“rm -p x -k removefile “#-w指定所要監(jiān)控的文件或命令 |

| 2 | #-p指定監(jiān)控屬性，如x執(zhí)行、w修改 |

| 3 | #-k是設(shè)置一個(gè)關(guān)鍵詞用于查詢 |

編輯配置文件（****永久生效）****：

auditd的配置文件為/etc/audit/audit下的auditd.conf 和audit.rules，auditd.conf 主要是定義了auditd服務(wù)日志和性能等相關(guān)配置，audit.rules才是定義規(guī)則的文件，下面是一個(gè)例子，其實(shí)就是把a(bǔ)uditctl的命令直接拿過來即可，auditctl里支持的選項(xiàng)都可以在這個(gè)文件里指定

修改完后重啟服務(wù)

| 1 | service auditd restart |

5、如果直接使用tailf等查看工具進(jìn)行日志分析會(huì)比較麻煩，好在audit已經(jīng)提供了一個(gè)更好的事件查看工具——

ausea****rch，

使用auserach -h查看下該命令的用法：

這里列出幾個(gè)常用的選項(xiàng)：

-a number #只顯示事件ID為指定數(shù)字的日志信息，如只顯示926事件：ausearch -a 926

-c commond #只顯示和指定命令有關(guān)的事件，如只顯示rm命令產(chǎn)生的事件：auserach -c rm

-i #顯示出的信息更清晰，如事件時(shí)間、相關(guān)

用戶名

都會(huì)直接顯示出來，而不再是數(shù)字形式

-k #顯示出和之前auditctl -k所定義的關(guān)鍵詞相匹配的事件信息

通過下圖可以看到每個(gè)事件被虛線分開，用戶名和執(zhí)行的操作也都能清晰的看到了：

6、使用auditctl還可以查看和清空規(guī)則

查看源碼

摘自

| 1 | auditctl -l 查看定義的規(guī)則 |

linux 開源日志分析工具的介紹就聊到這里吧，感謝你花時(shí)間閱讀本站內(nèi)容，更多關(guān)于linux 開源日志分析工具,「輕松掌握」Linux開源日志分析工具使用方法,Linux系統(tǒng)日志怎么查看,linux日志 audit的信息別忘了在本站進(jìn)行查找喔。

成都網(wǎng)站推廣找創(chuàng)新互聯(lián)，老牌網(wǎng)站營(yíng)銷公司
成都網(wǎng)站建設(shè)公司創(chuàng)新互聯(lián)(www.cdcxhl.com)專注高端網(wǎng)站建設(shè),網(wǎng)頁設(shè)計(jì)制作,網(wǎng)站維護(hù),網(wǎng)絡(luò)營(yíng)銷,SEO優(yōu)化推廣,快速提升企業(yè)網(wǎng)站排名等一站式服務(wù)。IDC基礎(chǔ)服務(wù)：云服務(wù)器、虛擬主機(jī)、網(wǎng)站系統(tǒng)開發(fā)經(jīng)驗(yàn)、服務(wù)器租用、服務(wù)器托管提供四川、成都、綿陽、雅安、重慶、貴州、昆明、鄭州、湖北十堰機(jī)房互聯(lián)網(wǎng)數(shù)據(jù)中心業(yè)務(wù)。

當(dāng)前文章：「輕松掌握」Linux開源日志分析工具使用方法 (linux 開源日志分析工具)
當(dāng)前鏈接：http://m.fisionsoft.com.cn/article/dhpopep.html

新聞中心

Linux系統(tǒng)日志怎么查看

linux日志 audit

其他資訊