Die Linux-Systemprotokolldatei enthält mehrere Inhaltsspalten

Die Linux-Protokolldatei enthält 4 Inhaltsspalten: 1. Der Zeitpunkt, zu dem das Ereignis aufgetreten ist; 2. Der Hostname des Servers, der das Ereignis generiert hat; 4. Der spezifische Informationen zur Veranstaltung. Solange es sich um Protokolldateien handelt, die vom Protokolldienst rsyslogd einheitlich verwaltet und aufgezeichnet werden, sind ihre Formate gleich und sie enthalten alle 4 Spalten, die Programmierer anzeigen und analysieren können.

Die Betriebsumgebung dieses Tutorials: Linux7.3-System, Dell G3-Computer.

Protokolldateien sind wichtige Systeminformationsdateien, die viele wichtige Systemereignisse aufzeichnen, einschließlich Benutzeranmeldeinformationen, Systemstartinformationen, Systemsicherheitsinformationen, E-Mail-bezogene Informationen, verschiedene dienstbezogene Informationen usw. Einige dieser Informationen sind sehr vertraulich, daher können diese Protokolldateien unter Linux nur vom Root-Benutzer gelesen werden.

Es gibt drei Haupttypen von Linux-Systemprotokollen: Kernel- und Systemprotokolle, Benutzerprotokolle und Programmprotokolle.

1. Kernel- und Systemprotokolle:

Diese Art von Protokolldaten wird einheitlich vom Systemdienst rsyslog verwaltet, und welche Kernel-Meldungen und verschiedene Systemprogrammmeldungen aufgezeichnet werden, hängt von den Einstellungen in seiner Hauptkonfigurationsdatei /etc ab /rsyslog.conf Speicherort. Eine beträchtliche Anzahl von Programmen im System überlässt Protokolldateien zur Verwaltung rsyslog, sodass die von diesen Programmen verwendeten Protokolldatensätze ebenfalls ein ähnliches Format haben.

2. Benutzerprotokoll:

Diese Art von Protokolldaten wird verwendet, um Informationen im Zusammenhang mit der Anmeldung und dem Verlassen des Systems durch Linux-Betriebssystembenutzer aufzuzeichnen, einschließlich Benutzername, angemeldetes Terminal, Anmeldezeit, Quellhost und Prozessvorgänge verwenden usw.

3. Programmprotokoll:

Einige Anwendungen entscheiden sich dafür, eine Protokolldatei selbst zu verwalten, um verschiedene Ereignisinformationen während der Ausführung des Programms aufzuzeichnen, anstatt sie der Verwaltung des rsyslog-Dienstes zu überlassen. Da diese Programme nur für die Verwaltung ihrer eigenen Protokolldateien verantwortlich sind, können die von verschiedenen Programmen verwendeten Protokollierungsformate stark variieren.

Analyse des Protokolldateiformats des Linux-Systems

Solange die Protokolldateien vom Protokolldienst rsyslogd aufgezeichnet werden, sind ihre Formate gleich. Solange wir das Format der Protokolldatei verstehen, können wir die Protokolldatei leicht verstehen.

Das Format der Protokolldatei enthält die folgenden 4 Spalten:

• Der Zeitpunkt, zu dem das Ereignis aufgetreten ist.

• Der Hostname des Servers, der das Ereignis generiert hat.

• Der Dienstname oder Programmname, der das Ereignis generiert hat.

• Detaillierte Informationen zur Veranstaltung.

Sehen wir uns das /var/log/secure-Protokoll an. Dieses Protokoll zeichnet hauptsächlich Benutzerauthentifizierungs- und Autorisierungsinformationen auf, die leichter zu verstehen sind. Der Befehl lautet wie folgt:

[root@localhost ~]# vi /var/log/secure
Jun 5 03：20：46 localhost sshd[1630]：Accepted password for root from 192.168.0.104 port 4229 ssh2
# 6月5日 03：20：46 本地主机 sshd服务产生消息：接收从192.168.0.104主机的4229端口发起的ssh连接的密码
Jun 5 03：20：46 localhost sshd[1630]：pam_unix(sshd：session)：session opened for user root by (uid=0)
#时间 本地主机 sshd服务中pam_unix模块产生消息：打开用户root的会话（UID为0）
Jun 5 03：25：04 localhost useradd[1661]：new group：name=bb， GID=501
#时间 本地主机 useradd命令产生消息：新建立bb组，GID为501
Jun 5 03：25：04 localhost useradd[1661]：new user：name=bb， UID=501， GID=501， home=/home/bb， shell=/bin/bash
Jun 5 03：25：09 localhost passwd：pam_unix(passwd：chauthtok)：password changed for bb

Der Inhalt eines Protokolls wird hier abgefangen und drei Protokollsätze werden mit Anmerkungen versehen. Können Sie die verbleibenden zwei Protokollsätze verstehen? Tatsächlich ist die Protokollanalyse nicht nur eine wichtige Systemwartungsaufgabe, sondern auch eine sehr langweilige und umständliche Aufgabe. Wenn es Probleme mit unserem Server gibt, z. B. wenn das System abnormal neu startet oder herunterfährt, sich der Benutzer abnormal anmeldet, der Dienst nicht normal genutzt werden kann usw., sollten Sie zuerst die Protokolle überprüfen.

Tatsächlich sollten Sie die Protokolle überprüfen, solange Sie das Gefühl haben, dass der Server nicht normal ist. Auch wenn keine Probleme mit dem Server vorliegen, sollten Sie es sich zur Gewohnheit machen, die Systemprotokolle regelmäßig zu überprüfen.

Verwandte Empfehlungen: „Linux-Video-Tutorial“

Das obige ist der detaillierte Inhalt vonDie Linux-Systemprotokolldatei enthält mehrere Inhaltsspalten. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!