Linux 系统上的日志文件包含了 很多 信息——比你有时间查看的还要多。以下是一些建议,告诉你如何正确的使用它们……而不是淹没在其中。
在 Linux 系统上管理日志文件可能非常容易,也可能非常痛苦。这完全取决于你所认为的日志管理是什么。
如果你认为是如何确保日志文件不会耗尽你的 Linux 服务器 上的所有磁盘空间,那么这个问题通常很简单。Linux 系统上的日志文件会自动翻转,系统将只维护固定数量的翻转日志。即便如此,一眼看去一组上百个文件可能会让人不知所措。在这篇文章中,我们将看看日志轮换是如何工作的,以及一些最相关的日志文件。
自动日志轮换
日志文件是经常轮转的。当前的日志会获得稍微不同的文件名,并建立一个新的日志文件。以系统日志文件为例。对于许多正常的系统 messages 文件来说,这个文件是一个包罗万象的东西。如果你转到并查看一下,你可能会看到一系列系统日志文件,如下所示:
$ ls -l syslog*-rw-r----- 1 syslog adm 28996 Jul 30 07:40 syslog-rw-r----- 1 syslog adm 71212 Jul 30 00:00 syslog.1-rw-r----- 1 syslog adm5449 Jul 29 00:00 syslog.2.gz-rw-r----- 1 syslog adm6152 Jul 28 00:00 syslog.3.gz-rw-r----- 1 syslog adm7031 Jul 27 00:00 syslog.4.gz-rw-r----- 1 syslog adm5602 Jul 26 00:00 syslog.5.gz-rw-r----- 1 syslog adm5995 Jul 25 00:00 syslog.6.gz-rw-r----- 1 syslog adm 32924 Jul 24 00:00 syslog.7.gz
轮换发生在每天午夜,旧的日志文件会保留一周,然后删除最早的系统日志文件。
syslog.7.gz
文件将被从系统中删除,
syslog.6.gz
将被重命名为
syslog.7.gz
。日志文件的其余部分将依次改名,直到变成并创建一个新的文件。有些系统日志文件会比其他文件大,但是一般来说,没有一个文件可能会变得非常大,并且你永远不会看到超过八个的文件。这给了你一个多星期的时间来回顾它们收集的任何数据。
某种特定日志文件维护的文件数量取决于日志文件本身。有些文件可能有 13 个。请注意和的旧文件是如何压缩以节省空间的。这里的考虑是你对最近的日志最感兴趣,而更旧的日志可以根据需要用解压。
# ls -t dpkg*dpkg.logdpkg.log.3.gzdpkg.log.6.gzdpkg.log.9.gzdpkg.log.12.gzdpkg.log.1dpkg.log.4.gzdpkg.log.7.gzdpkg.log.10.gzdpkg.log.2.gzdpkg.log.5.gzdpkg.log.8.gzdpkg.log.11.gz日志文件可以根据时间和大小进行轮换。检查日志文件时请记住这一点。
尽管默认值适用于大多数 Linux 系统管理员,但如果你愿意,可以对日志文件轮换进行不同的配置。查看这些文件,如
/etc/rsyslog.conf
和
/etc/logrotate.conf
。
使用日志文件
对日志文件的管理也包括时不时的使用它们。使用日志文件的第一步可能包括:习惯每个日志文件可以告诉你有关系统如何工作以及系统可能会遇到哪些问题。从头到尾读取日志文件几乎不是一个好的选择,但是当你想了解你的系统运行的情况或者需要跟踪一个问题时,知道如何从日志文件中获取信息会是有很大的好处。这也表明你对每个文件中存储的信息有一个大致的了解了。例如:
$ who wtmp | tail -10显示最近的登录信息$ who wtmp | grep shark显示特定用户的最近登录信息$ grep "sudo:" auth.log查看谁在使用 sudo$ tail dmesg查看(最近的)内核日志$ tail dpkg.log查看最近安装和更新的软件包$ more ufw.log查看防火墙活动(假如你使用 ufw)你运行的一些命令也会从日志文件中提取信息。例如,如果你想查看系统重新启动的列表,可以使用如下命令:
$ last rebootrebootsystem boot5.0.0-20-generic Tue Jul 16 13:19still runningrebootsystem boot5.0.0-15-generic Sat May 18 17:26 - 15:19 (21+21:52)rebootsystem boot5.0.0-13-generic Mon Apr 29 10:55 - 15:34 (18+04:39)使用更高级的日志管理器
虽然你可以编写脚本来更容易地在日志文件中找到感兴趣的信息,但是你也应该知道有一些非常复杂的工具可用于日志文件分析。一些可以把来自多个来源的信息联系起来,以便更全面地了解你的网络上发生了什么。它们也可以提供实时监控。这些工具,如 Solarwinds Log & Event Manager 和 PRTG 网络监视器(包括日志监视)浮现在脑海中。
还有一些免费工具可以帮助分析日志文件。其中包括:
在接下来的文章中,我将提供一些关于这些工具的见解和帮助。
自己搭建的linux主机,怎么看服务器日志
cat /var/log/* 如果日志在更新,如何实时查看 tail -f /var/log/messages 还可以使用 watch -d -n 1 cat /var/log/messages -d表示高亮不同的地方,-n表示多少秒刷新一次。 该指令,不会直接返回命令行,而是实时打印日志文件中新增加的内容,这一特性,对于查看日志是非常有效的。 如果想终止输出,按 Ctrl+C 即可。 在Linux系统中,有三个主要的日志子系统: 连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,使系统管理员能够跟踪谁在何时登录到系统。 进程统计--由系统内核执行。 当一个进程终止时,为每个进程往进程统计文件(pacct或acct)中写一个纪录。 进程统计的目的是为系统中的基本服务提供命令使用统计。 错误日志...
linux下用什么命令查看日志满了
Linux日志文件在/var/log目录下,可以通过命令查看日志文件。 1,cat messages可以查看某个日志文件。 2,要达到实时更新,可以通过tail命令查看更新的数据,例如tail -f messages。 3,tail命令参数:-f 循环读取-q 不显示处理信息-v 显示详细的处理信息-c<数目> 显示的字节数-n<行数> 显示行数--pid=PID 与-f合用,表示在进程ID,PID死掉之后结束. -q, --quiet, --silent 从不输出给出文件名的首部 -s, --sleep-interval=S 与-f合用,表示在每次反复的间隔休眠S秒。
mysql数据库查询好慢怎么解决
28万条数据量不是很大,字段稍微有点多,如果不加WHERE 条件的话,数据库判定是查询所有数据库,而加了WHERE 条件时,数据库判定要去详细的查找某个数据,所以速度自然会慢,建立索引可以解决您的问题;CREATE INDEX 索引名 ON 表名 (WHERE 条件用到的列名,如有多个就以逗号分隔);这次在去WHERE 的时候就会快很多
发表评论