Los archivos de registro y diarios son importantes para el trabajo de un administrador de sistemas. Revelan una gran cantidad de información sobre un sistema y son fundamentales durante la resolución de problemas y la auditoría.
Los archivos de registro contienen eventos y mensajes generados por el kernel, las aplicaciones y los usuarios que inician sesión en el sistema.
Tabla de Contenidos
Usar rsyslog
Syslog y rsyslog se han utilizado durante mucho tiempo para proporcionar registros en servidores Linux. Systemd se convirtió en el administrador de servicios predeterminado con Red Hat Enterprise Linux (RHEL) 7 e introdujo su propio sistema de registro llamado systemd-journald. systemd-journald sigue siendo el mecanismo de registro en RHEL 8 y 9 mientras mantiene rsyslog para compatibilidad con versiones anteriores.
El servicio rsyslog mantiene varios archivos de registro en el /var/log directorio. Puede abrir estos archivos usando comandos nativos como tail, head, more, less, caty así sucesivamente, dependiendo de lo que esté buscando.
Por ejemplo, para mostrar el arranque y otros mensajes del kernel, vea /var/log/messages:
[server]$ cat /var/log/messages
Usar grep y otras herramientas de filtrado para recopilar eventos más específicos de un archivo. También puedes usar tail para ver los archivos a medida que se actualizan:
[server]$ tail -f /var/log/messages
En el comando anterior, el -f La opción actualiza la salida cuando se agregan nuevas entradas del archivo de registro.
Comprobar el /var/log/secure archivo para ver los usuarios y sus actividades:
[server]$ tail -f /var/log/secure
Usar systemd-journald
El servicio systemd-journald no mantiene archivos separados, como lo hace rsyslog. La idea es evitar revisar diferentes archivos en busca de problemas. Systemd-journald guarda los eventos y mensajes en un formato binario que no se puede leer con un editor de texto. Puede consultar el diario con el journalctl dominio.
Para mostrar todos los mensajes de eventos, utilice:
[server]$ journalctl
Esto es similar a la /var/log/messages en el servicio rsyslog.
[ Download the free eBook Manage your Linux environment for success. ]
Para ver los últimos 10 mensajes de eventos, utilice:
[server]$ journalctl -n
Puedes ver la última norte entradas usando journalctl -n {number}. Por ejemplo, para ver las últimas 20 entradas, escriba:
[server]$ journalctl -n 20
Para generar nuevas entradas de diario a medida que se escriben en el diario, utilice:
[server]$ journalctl -f
Ejecute el siguiente comando para mostrar el registro de mensajes del kernel desde el último arranque:
[server]$ journalctl -k
Él journalctl El comando tiene varias opciones que pueden facilitar la consulta del diario. Puede consultar el registro en función de las aplicaciones, el período de tiempo, las unidades del sistema, la prioridad y muchas otras opciones. ejecutar el journalctl –help comando para listar las opciones disponibles.
Para ver las entradas de diario en función de su crítico prioridad, utilice:
[server]$ journalctl -p crit
Para consultar todos los mensajes relacionados con un usuario en particular, busque el ID del usuario (UID) y utilícelo para realizar la consulta. Por ejemplo, para verificar todos los registros relacionados con el usuario sadmin, ejecute:
[server]$ id sadmin
uid=1000(sadmin) gid=1000(sadmin) groups=1000(sadmin)
[server]$journalctl _UID=1000
Para ver las entradas del diario de hoy, use:
[[server]$ journalctl --since today
Para ver las entradas del diario relacionadas con el demonio sshd, ejecute:
[server]$ journalctl -u sshd
Lo mismo se aplica a otros servicios que se ejecutan bajo systemd que se pueden detener e iniciar con systemctl.
Para verificar los mensajes relacionados con el servicio httpd durante la última hora, puede ejecutar:
[server]$ journalctl -u httpd –since "1 hour ago"
Administrar el reenvío de registros
Los servidores RHEL 8 y 9 usan rsyslog y systemd-journald, y se complementan entre sí para realizar el registro. Systemd-journald no tiene un mecanismo para reenviar registros a sistemas externos y aplicaciones de monitoreo. Una configuración modifica esto en el /etc/systemd/journald.conf. Él ForwardToSyslog El parámetro define si las entradas en el diario deben reenviarse a syslog. Cuando está habilitado, syslog captura las entradas a medida que llegan a través de systemd-journald y las reenvía en consecuencia.
Envolver
Las distribuciones RHEL actuales se basan en systemd y la herramienta de registro journald relacionada. Sin embargo, rsyslog sigue desempeñando un papel importante en el registro para muchos administradores, especialmente cuando se trata de reenvío y centralización de registros. Los administradores de sistemas deben saber cómo usar ambos mecanismos de registro de manera efectiva. Estos comandos lo ayudarán a aprender y usar el registro del sistema para solucionar problemas y realizar auditorías. Trabaje con ambos y comprenderá mucho mejor lo que sucede en sus sistemas Linux.
