Als Linux-Systemadministrator Prüfen von Protokolldateien ist eine der häufigsten Aufgaben, die Sie ausführen müssen.
Linux-Protokolle sind entscheidend:Sie speichern wichtige Informationen über einige Fehler, die auf Ihrem System auftreten können.
Sie können auch Informationen darüber speichern, wer versucht, auf Ihr System zuzugreifen, was ein bestimmter Dienst tut oder über einen früheren Systemabsturz.
Als Konsequenz muss man wissen, wie man findet , manipulieren und Protokolldateien parsen ist definitiv eine Fähigkeit, die Sie beherrschen müssen.
In diesem Tutorial werden wir alles enthüllen, was es über Linux-Protokollierung. zu wissen gibt
Ihnen wird gezeigt, wie die Protokollierung auf Linux-Systemen aufgebaut ist und wie verschiedene virtuelle Geräte und Prozesse zusammenwirken, um Einträge zu protokollieren.
Wir werden uns eingehender mit dem Syslog-Protokoll befassen und wie es von syslogd (auf alten Systemen) zu journalctl powered by systemd auf neueren Systemen überging.
Linux-Protokollierungstypen
Beim Umgang mit der Linux-Protokollierung gibt es ein paar Grundlagen, die Sie verstehen müssen, bevor Sie irgendwelche Befehle in das Terminal eingeben.
Unter Linux gibt es zwei Arten von Protokollierungsmechanismen:
- Kernel-Protokollierung :bezieht sich auf Fehler, Warnungen oder Informationseinträge, die Ihr Kernel möglicherweise schreibt;
- Benutzerprotokollierung :Mit dem Benutzerbereich verknüpft, beziehen sich diese Protokolleinträge auf Prozesse oder Dienste, die möglicherweise auf dem Hostcomputer ausgeführt werden.
Indem wir die Protokollierung in zwei Kategorien aufteilen, enthüllen wir im Wesentlichen, dass der Speicher selbst unter Linux in zwei Kategorien unterteilt ist:Benutzerbereich und Kernelspace .
Kernelprotokollierung
Beginnen wir zunächst mit der Protokollierung im Zusammenhang mit dem Kernel-Space, auch bekannt als Kernel-Protokollierung.
Auf dem Kernel-Space erfolgt die Protokollierung über den Kernel Ring Buffer.
Der Ringpuffer des Kernels ist ein kreisförmiger Puffer, der die erste Datenstruktur ist, die Protokollmeldungen speichert, wenn das System hochfährt.
Wenn Sie Ihren Linux-Rechner starten und Protokollmeldungen auf dem Bildschirm angezeigt werden, werden diese Meldungen im Ringpuffer des Kernels gespeichert.
Die Kernel-Protokollierung wird vor der Benutzerprotokollierung gestartet (verwaltet vom Syslog-Daemon oder von rsyslog bei neueren Distributionen).
Der Ringpuffer des Kernels kann genau wie alle anderen Protokolldateien auf Ihrem System überprüft werden.
Um Kernel-bezogene Protokolle auf Ihrem System zu öffnen, müssen Sie die „dmesg ”-Befehl.
Hinweis :Sie müssen diesen Befehl als root ausführen oder privilegierte Rechte haben, um den Kernel-Ringpuffer zu inspizieren.
$ dmesg
Wie Sie sehen können, verfolgt der Kernel vom Systemstart bis zu dem Zeitpunkt, an dem Sie den Befehl ausgeführt haben, alle Aktionen, Warnungen oder Fehler, die im Kernel-Bereich auftreten können.
Wenn Ihr System Probleme beim Erkennen oder Mounten einer Festplatte hat, sollten Sie die Fehler wahrscheinlich hier untersuchen.
Wie Sie sehen können, ist der Befehl dmesg eine ziemlich nette Schnittstelle, um Kernel-Protokolle anzuzeigen, aber wie gibt der Befehl dmesg diese Ergebnisse an Sie zurück?
Um die verschiedenen verwendeten Mechanismen zu enthüllen, sehen wir uns an, welche Prozesse und Geräte sich um die Kernel-Protokollierung kümmern .
Kernel-Logging-Interna
Wie Sie wahrscheinlich schon einmal gehört haben, ist unter Linux alles eine Datei.
Wenn alles eine Datei ist, bedeutet das auch, dass Geräte Dateien sind.
Unter Linux wird der Kernel-Ringpuffer durch eine Zeichengerätedatei im /dev-Verzeichnis materialisiert und heißt kmsg.
$ ls -l /dev/ | grep kmsg
Wenn wir die Beziehung zwischen dem kmsg-Gerät und dem Kernel-Ringpuffer darstellen müssten, würden wir sie so darstellen.
Wie Sie sehen, ist das kmsg-Gerät eine Abstraktion verwendet, um den Ringpuffer des Kernels zu lesen und zu schreiben.
Sie können es im Wesentlichen als Einstiegspunkt für User-Space-Prozesse sehen, um in den Ringpuffer des Kernels zu schreiben.
Das oben gezeigte Diagramm ist jedoch unvollständig, da eine spezielle Datei vom Kernel verwendet wird, um die Kernel-Protokollinformationen in eine Datei auszugeben.
Wenn wir es zusammenfassen würden, würden wir im Wesentlichen sagen, dass das virtuelle Gerät kmsg als Einstiegspunkt fungiert für den Ringpuffer des Kernels, während die Ausgabe dieses Prozesses (die Protokollzeilen) in die Datei /proc/kmsg gedruckt wird.
Diese Datei kann nur von einem einzigen Prozess analysiert werden, der meistens das im Benutzerbereich verwendete Protokollierungsdienstprogramm ist. Bei einigen Distributionen kann es syslogd sein, aber bei neueren Distributionen ist es in rsyslog integriert.
Das Dienstprogramm rsyslog verfügt über eine Reihe eingebetteter Module, die Kernel-Protokolle in dedizierte Dateien im Dateisystem umleiten.
In der Vergangenheit wurden Kernel-Protokolle vom klogd-Daemon abgerufen auf früheren Systemen, wurde aber auf den meisten Distributionen durch rsyslog ersetzt.
Auf der einen Seite haben Sie Logging-Hilfsprogramme, die aus dem Ringpuffer lesen, aber Sie haben auch User-Space-Programme, die in den Ringpuffer schreiben:systemd (mit dem berühmten systemd-Journal) zum Beispiel bei neueren Distributionen.
Nachdem Sie nun mehr über die Kernel-Protokollierung wissen, sehen wir uns an, wie die Protokollierung im Benutzerbereich durchgeführt wird.
Benutzerseitige Protokollierung mit Syslog
Das Einloggen in den Userspace ist ganz anders als das Einloggen in den Kernelspace.
Benutzerseitig basiert das Logging auf dem Syslog-Protokoll .
Syslog wird standardmäßig verwendet, um Protokolle zu erstellen, weiterzuleiten und zu sammeln, die auf einer Linux-Instanz erstellt wurden.
Syslog definiert Schweregrade sowie Einrichtungsebenen und hilft Benutzern dabei, die auf ihren Computern erstellten Protokolle besser zu verstehen.
Logs können später auf Servern, die als Syslog-Server bezeichnet werden, analysiert und visualisiert werden.
Kurz gesagt, das Syslog-Protokoll ist ein Protokoll, das verwendet wird, um die Protokollnachrichten zu definieren, die auf Unix-Systemen formatiert, gesendet und empfangen werden.
Syslog ist dafür bekannt, das Syslog-Format zu definieren, das das Format definiert, das von Anwendungen verwendet werden muss, um Protokolle zu senden.
Dieses Format ist bekannt dafür, zwei wichtige Begriffe zu definieren:Einrichtungen und Prioritäten .
Syslog-Einrichtungen erklärt
Kurz gesagt, eine Einrichtungsebene wird verwendet, um das Programm oder den Teil des Systems zu bestimmen, das die Protokolle erzeugt hat.
Auf Ihrem Linux-System senden viele verschiedene Dienstprogramme und Programme Protokolle. Um festzustellen, welcher Prozess das Protokoll überhaupt gesendet hat, definiert Syslog Nummern, Einrichtungsnummern, die von Programmen zum Senden von Syslog-Protokollen verwendet werden.
Es gibt mehr als 23 verschiedene Syslog-Einrichtungen, die in der folgenden Tabelle beschrieben werden.
| Zahlencode | Schlüsselwort | Name der Einrichtung |
| 0 | Kern | Kernel-Meldungen |
| 1 | Benutzer | Nachrichten auf Benutzerebene |
| 2 | Mailsystem | |
| 3 | Daemon | System-Daemons |
| 4 | Auth | Sicherheitsmeldungen |
| 5 | syslog | Syslogd-Meldungen |
| 6 | lpr | Zeilendrucker-Subsystem |
| 7 | Neuigkeiten | Netzwerknachrichten-Subsystem |
| 8 | uucp | UUCP-Subsystem |
| 9 | cron | Uhr-Daemon |
| 10 | authpriv | Sicherheitsmeldungen |
| 11 | ftp | FTP-Daemon |
| 12 | ntp | NTP-Subsystem |
| 13 | Sicherheit | Sicherheitsprotokollprüfung |
| 14 | Konsole | Konsolenprotokollwarnungen |
| 15 | solaris-cron | Planungsprotokolle |
| 16-23 | local0 bis local7 | Lokal genutzte Einrichtungen |
Die meisten dieser Einrichtungen sind Systemprozessen vorbehalten (wie dem Mailserver, falls Sie einen haben, oder dem Cron-Dienstprogramm). Einige von ihnen (von den Einrichtungsnummern 16 bis 23) können von benutzerdefinierten Syslog-Clients oder Benutzerprogrammen zum Senden von Protokollen verwendet werden.
Erklärung der Syslog-Prioritäten
Syslog-Schweregrade sind daran gewöhnt, wie schwerwiegend ein Protokollereignis ist, und sie reichen von Debug- und Informationsmeldungen bis hin zu Notfallstufen.
Ähnlich wie bei den Syslog-Einrichtungsstufen werden die Schweregrade in numerische Kategorien von 0 bis 7 unterteilt, wobei 0 die kritischste Notfallstufe ist .
Auch hier ist eine Tabelle für alle mit Syslog verfügbaren Prioritätsstufen.
Hier sind die Syslog-Schweregrade in einer Tabelle beschrieben:
| Wert | Schweregrad | Schlüsselwort |
| 0 | Notfall | emerg |
| 1 | Warnung | alert |
| 2 | Kritisch | crit |
| 3 | Fehler | err |
| 4 | Warnung | alert |
| 5 | Hinweis | notice |
| 6 | Information | info |
| 7 | Debuggen | debug |
Syslog-Architektur
Syslog definiert auch einige Fachbegriffe, die verwendet werden, um die Architektur von Protokollierungssystemen aufzubauen:
- Urheber :auch bekannt als „Syslog-Client“, ein Absender ist dafür verantwortlich, die Syslog-formatierte Nachricht über das Netzwerk oder an die richtige Anwendung zu senden;
- Relais :Ein Relay wird verwendet, um Nachrichten über das Netzwerk weiterzuleiten. Ein Relay kann die Nachrichten transformieren, um sie beispielsweise anzureichern (bekannte Beispiele sind Logstash oder fluentd);
- Sammler :Auch bekannt als „Syslog-Server“, Kollektoren werden verwendet, um Protokolle von mehreren Anwendungen zu speichern, anzuzeigen und abzurufen. Der Kollektor kann Protokolle in eine Vielzahl unterschiedlicher Ausgaben schreiben:lokale Dateien, Datenbanken oder Caches.
Wie Sie sehen können, folgt das Syslog-Protokoll der Client-Server-Architektur wir in früheren Tutorials gesehen haben.
Ein Syslog-Client erstellt Nachrichten und sendet sie an optionale lokale oder entfernte Relays, die weiter an Syslog-Server übertragen werden können.
Nun, da Sie wissen, wie das Syslog-Protokoll aufgebaut ist, was ist mit unserem eigenen Linux-System?
Folgt es dieser Architektur?
Lokale Protokollierungsarchitektur von Linux
Die Anmeldung bei einem lokalen Linux-System folgt genau den Prinzipien, die wir zuvor beschrieben haben.
Hier ist ohne weiteres die Art und Weise, wie die Protokollierung auf einem Linux-System (auf neueren Distributionen) aufgebaut ist
Nach der oben beschriebenen Originator-Relay-Collector-Architektur im Fall eines lokalen Linux-Systems:
- Urheber sind Clientanwendungen die Syslog- oder Journald-Bibliotheken einbetten können, um Protokolle zu senden;
- Keine Relais werden standardmäßig lokal implementiert;
- Kollektoren sind rsyslog und der Journald-Daemon Listening auf vordefinierten Sockets für eingehende Protokolle.
Wo werden Protokolle gespeichert, nachdem sie von den Sammlern empfangen wurden?
Speicherort der Linux-Protokolldatei
Auf Ihrem Linux-System werden Protokolle im Verzeichnis /var/log gespeichert Verzeichnis.
Protokolle im /var/log-Verzeichnis sind in die Syslog-Einrichtungen aufgeteilt, die wir zuvor gesehen haben, gefolgt vom Protokoll-Suffix:auth.log, daemon.log, kern.log oder dpkg.log.
Wenn Sie die Datei auth.log überprüft haben, werden Ihnen Protokolle zur Authentifizierung und Autorisierung auf Ihrem Linux-System angezeigt.
In ähnlicher Weise zeigt die Datei cron.log Informationen zum Cron-Dienst auf Ihrem System an.
Wie Sie jedoch aus dem obigen Diagramm ersehen können, gibt es auf Ihrem Linux-Server eine Koexistenz von zwei verschiedenen Protokollierungssystemen:rsyslog und systemd-journal.
Koexistenz von Rsyslog und Systemd-Journal
Historisch gesehen ein Daemon war für das Sammeln von Protokollen Ihrer Anwendungen unter Linux verantwortlich.
Bei vielen alten Distributionen wurde diese Aufgabe einem Daemon namens syslogd zugewiesen aber er wurde in neueren Distributionen durch den rsyslog-Daemon ersetzt .
Als systemd den bestehenden init-Prozess auf neueren Distributionen ersetzte, kam es mit einer eigenen Methode zum Abrufen und Speichern von Protokollen:systemd-journal.
Jetzt existieren die beiden Systeme koexistent aber ihre Koexistenz galt als abwärtskompatibel mit der Art und Weise, wie Protokolle in der Vergangenheit aufgebaut waren.
Der Hauptunterschied zwischen rsyslog und systemd-journal besteht darin, dass rsyslog Protokolle in den Protokolldateien speichert, die unter /var/log verfügbar sind während journald dies nicht tut Persistenz von Daten, sofern dies nicht konfiguriert ist.
Speicherort der Journalprotokolldateien
Wie Sie es aus dem letzten Abschnitt verstanden haben, dem systemd-Journal Dienstprogramm verfolgt auch Protokollierungsaktivitäten auf Ihrem System.
Einige Anwendungen, die als Dienste konfiguriert sind (z. B. ein Apache HTTP-Server), können direkt mit dem systemd-Journal kommunizieren.
Das systemd-Journal speichert Protokolle zentralisiert unter /run/log/journal Verzeichnis.
Die Protokolldateien werden als binäre Dateien gespeichert von systemd, sodass Sie die Dateien nicht mit den üblichen cat- oder less-Befehlen untersuchen können.
Stattdessen möchten Sie die Datei „journalctl verwenden ”-Befehl, um die von systemd-journal erstellten Protokolldateien zu untersuchen.
$ journalctl
Es gibt viele verschiedene Optionen, die Sie mit journalctl verwenden können, aber die meiste Zeit möchten Sie bei den Optionen „-r“ und „-u“ bleiben.
Um die neuesten Journaleinträge anzuzeigen, verwenden Sie „journalctl “ mit dem „-r ”-Option.
$ journalctl -r
Wenn Sie Protokolle zu einem bestimmten Dienst sehen möchten , verwenden Sie die Option „-u“ und geben Sie den Namen des Dienstes an.
$ journalctl -u <service>Um beispielsweise Protokolle zum SSH-Dienst anzuzeigen, würden Sie den folgenden Befehl ausführen
$ journalctl -u sshNachdem Sie nun gesehen haben, wie Sie Konfigurationsdateien lesen können, sehen wir uns an, wie Sie Ihre Protokollierungsdienstprogramme einfach konfigurieren können.
Linux-Protokollierungskonfiguration
Wie Sie wahrscheinlich aus den vorherigen Abschnitten verstanden haben, basiert die Linux-Protokollierung auf zwei wichtigen Komponenten:rsyslog und systemd-journal.
Jedes dieser Dienstprogramme hat seine eigene Konfigurationsdatei und wir werden in den folgenden Kapiteln sehen, wie sie konfiguriert werden können.
Konfiguration des Systemd-Journals
Die Konfigurationsdateien für das systemd-Journal befinden sich im Verzeichnis /etc/systemd Verzeichnis.
$ sudo vi /etc/systemd/journald.confDie Datei mit dem Namen „journald.conf “ wird verwendet, um den Journal-Daemon zu konfigurieren über aktuelle Distributionen.
Eine der wichtigsten Optionen in der Journalkonfiguration ist die „Speicherung ”-Parameter.
Wie bereits erwähnt, werden die Journaldateien nicht auf Ihrem System gespeichert und gehen beim nächsten Neustart verloren.
Um Ihre Journalprotokolle persistent zu machen, stellen Sie sicher, dass Sie diesen Parameter auf „persistent“ ändern und Ihren systemd-Journal-Daemon neu starten.
Um den Journal-Daemon neu zu starten, verwenden Sie den Befehl „systemctl“ mit der Option „restart“ und geben Sie den Namen des Dienstes an.
$ sudo systemctl restart systemd-journaldFolglich werden Journalprotokolle im Verzeichnis /var/log/journal neben den rsyslog-Protokolldateien gespeichert.
$ ls -l /var/log/journal
Wenn Sie neugierig auf die systemd-journal-Konfiguration sind, lesen Sie unbedingt die von FreeDesktop bereitgestellte Dokumentation.
Rsyslog-Konfiguration
Andererseits kann der rsyslog-Dienst über die /etc/rsyslog.conf konfiguriert werden Konfigurationsdatei.
$ sudo vi /etc/rsyslog.confWie bereits erwähnt, ist rsyslog im Wesentlichen ein Syslog-Sammler, aber das Hauptkonzept, das Sie verstehen müssen, ist, dass Rsyslog mit Modulen arbeitet.
Seine modulare Architektur bietet Plugins wie native Möglichkeiten zum Übertragen von Protokollen in eine Datei, eine Shell, eine Datenbank oder Sockets.
Bei der Arbeit mit rsyslog gibt es zwei Hauptabschnitte, die Ihre Aufmerksamkeit verdienen:Module und Regeln .
Rsyslog Module
Standardmäßig sind zwei Module auf Ihrem System aktiviert:imuxsock (Überwachen des Syslog-Sockets) und imjournal (im Wesentlichen Weiterleitung von Journalprotokollen an rsyslog).
Hinweis :Der imklog (verantwortlich für das Sammeln von Kernel-Logs) könnte ebenfalls aktiviert sein.
Rsyslog-Regeln
Die Regeln Abschnitt von rsyslog ist wahrscheinlich der wichtigste.
Auf rsyslog, aber Sie können die gleichen Prinzipien auf alten Distributionen mit systemd finden, definiert der Regelabschnitt, welches Protokoll in Abhängigkeit von seiner Einrichtung und Priorität in Ihrem Dateisystem gespeichert werden soll.
Nehmen wir als Beispiel die folgende rsyslog-Konfigurationsdatei.
Die erste Spalte beschreibt die angewandten Regeln:Auf der linken Seite des Punktes definieren Sie die Einrichtung und auf der rechten Seite der Schweregrad .
Ein Platzhaltersymbol „*“ bedeutet, dass es für alle Schweregrade funktioniert.
Wenn Sie also Ihre Protokollierungskonfiguration der Reihe nach optimieren möchten, sagen Sie zum Beispiel, dass Sie nur an bestimmten Schweregraden interessiert sind, ist dies die Datei, die Sie ändern würden.
Dienstprogramme zur Überwachung von Linux-Protokollen
Im vorherigen Abschnitt haben wir gesehen, wie Sie Ihre Protokollierungsdienstprogramme einfach konfigurieren können, aber welche Dienstprogramme können Sie verwenden, um Ihre Linux-Protokolle einfach zu lesen?
Der einfachste Weg, Ihre Linux-Protokolle zu lesen und zu überwachen, ist die Verwendung des Befehls tail mit der Option „-f“ für follow.
$ tail -f <file>Um beispielsweise die in der Datei auth.log geschriebenen Protokolle zu lesen, würden Sie den folgenden Befehl ausführen.
$ tail -f /var/log/auth.logEine weitere großartige Möglichkeit, Linux-Protokolle zu lesen, ist die Verwendung grafischer Anwendungen, wenn Sie eine Linux-Desktopumgebung ausführen.
Die „Protokolle ” Anwendung ist eine grafische Anwendung, die entwickelt wurde, um Anwendungs- und Systemprotokolle aufzulisten, die in verschiedenen Protokolldateien (entweder in rsyslog oder journald) gespeichert sein können.
Linux-Protokollierungsdienstprogramme
Nachdem Sie nun gesehen haben, wie die Protokollierung auf einem Linux-System konfiguriert werden kann, sehen wir uns einige Dienstprogramme an, die Sie verwenden können, falls Sie Nachrichten protokollieren möchten.
Logger verwenden
Der Logger Utility ist wahrscheinlich einer der am einfachsten zu verwendenden Log-Clients.
Logger wird verwendet, um Protokollnachrichten an das Systemprotokoll zu senden, und kann mit der folgenden Syntax ausgeführt werden.
$ logger <options> <message>Nehmen wir zum Beispiel an, dass Sie eine Notfallnachricht von der Authentifizierungsfunktion an Ihr rsyslog-Dienstprogramm senden möchten, würden Sie den folgenden Befehl ausführen.
$ logger -p auth.emerg "Somebody tried to connect to the system"Wenn Sie nun die Datei /var/log/auth.log untersuchen würden, könnten Sie die Nachricht finden, die Sie gerade auf dem rsyslog-Server angemeldet haben.
$ tail -n 10 /var/log/auth.log | grep --color connect
Der Logger ist sehr nützlich, wenn er beispielsweise in Bash-Skripten verwendet wird.
Aber was wäre, wenn Sie Dateien mit dem systemd-journal protokollieren wollten?
Systemd-cat verwenden
Um Nachrichten an das systemd-Journal zu senden, müssen Sie den Befehl „systemd-cat“ verwenden und den Befehl angeben, den Sie ausführen möchten.
$ systemd-cat <command> <arguments>Wenn Sie die Ausgabe des Befehls „ls -l“ an das Journal senden möchten, schreiben Sie den folgenden Befehl
$ systemd-cat ls -l
Es ist auch möglich, „Klartext“-Protokolle an das Journal zu senden, indem der Befehl echo an das Dienstprogramm systemd-cat weitergeleitet wird.
$ echo "This is a message to journald" | systemd-catWand verwenden
Der Wall-Befehl hat nichts mit Logging-Utilities zu tun, kann aber für die Linux-Systemadministration sehr nützlich sein.
Der Wall-Befehl wird verwendet, um Nachrichten an alle eingeloggten Benutzer zu senden.
$ wall -n <message>Wenn Sie beispielsweise allen angemeldeten Benutzern eine Nachricht schreiben würden, um sie über den nächsten Serverneustart zu informieren, würden Sie den folgenden Befehl ausführen.
$ wall -n "Server reboot in five minutes, close all important applications"
Schlussfolgerung
In dieser Anleitung haben Sie mehr über die Linux-Protokollierung erfahren :wie es aufgebaut ist und wie verschiedene Protokollierungskomponenten (nämlich rsyslog und journald ) miteinander interagieren.
Sie haben mehr über das Syslog-Protokoll erfahren und wie Kollektoren konfiguriert werden können, um bestimmte Ereignisse auf Ihrem System zu protokollieren.
Die Linux-Protokollierung ist ein weites Thema und es gibt viele weitere Themen, die Sie zu diesem Thema erkunden können.
Wussten Sie, dass Sie zentralisierte Protokollierungssysteme aufbauen können, um Protokolle auf mehreren Computern zu überwachen?
Wenn Sie an zentralisierter Protokollierung interessiert sind, lesen Sie unbedingt unseren Leitfaden!
Wenn Sie sich leidenschaftlich für die Linux-Systemadministration interessieren, haben wir auf der Website einen vollständigen Abschnitt dafür, also schauen Sie sich das unbedingt an!