Tutoriales

Cómo encontrar e interpretar archivos de registro del sistema en Linux

mayo 24, 2022
0 23 3 minutos de lectura
Cómo encontrar e interpretar archivos de registro del sistema en Linux

Los archivos de registro y diarios son importantes para el trabajo de un administrador de sistemas. Revelan una gran cantidad de información sobre un sistema y son fundamentales durante la resolución de problemas y la auditoría.

Los archivos de registro contienen eventos y mensajes generados por el kernel, las aplicaciones y los usuarios que inician sesión en el sistema.

Usar rsyslog

Syslog y rsyslog se han utilizado durante mucho tiempo para proporcionar registros en servidores Linux. Systemd se convirtió en el administrador de servicios predeterminado con Red Hat Enterprise Linux (RHEL) 7 e introdujo su propio sistema de registro llamado systemd-journald. systemd-journald sigue siendo el mecanismo de registro en RHEL 8 y 9 mientras mantiene rsyslog para compatibilidad con versiones anteriores.

El servicio rsyslog mantiene varios archivos de registro en el /var/log directorio. Puede abrir estos archivos usando comandos nativos como tail, head, more, less, caty así sucesivamente, dependiendo de lo que esté buscando.

Por ejemplo, para mostrar el arranque y otros mensajes del kernel, vea /var/log/messages:

[server]$ cat /var/log/messages

Usar grep y otras herramientas de filtrado para recopilar eventos más específicos de un archivo. También puedes usar tail para ver los archivos a medida que se actualizan:

Publicaciones relacionadas
[server]$ tail -f /var/log/messages

En el comando anterior, el -f La opción actualiza la salida cuando se agregan nuevas entradas del archivo de registro.

Comprobar el /var/log/secure archivo para ver los usuarios y sus actividades:

[server]$ tail -f /var/log/secure

Usar systemd-journald

El servicio systemd-journald no mantiene archivos separados, como lo hace rsyslog. La idea es evitar revisar diferentes archivos en busca de problemas. Systemd-journald guarda los eventos y mensajes en un formato binario que no se puede leer con un editor de texto. Puede consultar el diario con el journalctl dominio.

Para mostrar todos los mensajes de eventos, utilice:

[server]$ journalctl

Esto es similar a la /var/log/messages en el servicio rsyslog.

[ Download the free eBook Manage your Linux environment for success. ]

Para ver los últimos 10 mensajes de eventos, utilice:

[server]$ journalctl -n

Puedes ver la última norte entradas usando journalctl -n {number}. Por ejemplo, para ver las últimas 20 entradas, escriba:

[server]$ journalctl -n 20

Para generar nuevas entradas de diario a medida que se escriben en el diario, utilice:

[server]$ journalctl -f

Ejecute el siguiente comando para mostrar el registro de mensajes del kernel desde el último arranque:

[server]$ journalctl -k

Él journalctl El comando tiene varias opciones que pueden facilitar la consulta del diario. Puede consultar el registro en función de las aplicaciones, el período de tiempo, las unidades del sistema, la prioridad y muchas otras opciones. ejecutar el journalctl –help comando para listar las opciones disponibles.

Para ver las entradas de diario en función de su crítico prioridad, utilice:

[server]$ journalctl -p crit

Para consultar todos los mensajes relacionados con un usuario en particular, busque el ID del usuario (UID) y utilícelo para realizar la consulta. Por ejemplo, para verificar todos los registros relacionados con el usuario sadmin, ejecute:

[server]$ id sadmin
uid=1000(sadmin) gid=1000(sadmin) groups=1000(sadmin)
[server]$journalctl _UID=1000

Para ver las entradas del diario de hoy, use:

[[server]$ journalctl --since today

Para ver las entradas del diario relacionadas con el demonio sshd, ejecute:

[server]$ journalctl -u sshd

Lo mismo se aplica a otros servicios que se ejecutan bajo systemd que se pueden detener e iniciar con systemctl.

Para verificar los mensajes relacionados con el servicio httpd durante la última hora, puede ejecutar:

[server]$ journalctl -u httpd –since "1 hour ago"

Administrar el reenvío de registros

Los servidores RHEL 8 y 9 usan rsyslog y systemd-journald, y se complementan entre sí para realizar el registro. Systemd-journald no tiene un mecanismo para reenviar registros a sistemas externos y aplicaciones de monitoreo. Una configuración modifica esto en el /etc/systemd/journald.conf. Él ForwardToSyslog El parámetro define si las entradas en el diario deben reenviarse a syslog. Cuando está habilitado, syslog captura las entradas a medida que llegan a través de systemd-journald y las reenvía en consecuencia.

Envolver

Las distribuciones RHEL actuales se basan en systemd y la herramienta de registro journald relacionada. Sin embargo, rsyslog sigue desempeñando un papel importante en el registro para muchos administradores, especialmente cuando se trata de reenvío y centralización de registros. Los administradores de sistemas deben saber cómo usar ambos mecanismos de registro de manera efectiva. Estos comandos lo ayudarán a aprender y usar el registro del sistema para solucionar problemas y realizar auditorías. Trabaje con ambos y comprenderá mucho mejor lo que sucede en sus sistemas Linux.

LEER  ᐅ Cómo para Ubuntu 22.04 » Linux en español
mayo 24, 2022
0 23 3 minutos de lectura

Publicaciones relacionadas

Comprender el archivo /etc/shells

Comprender el archivo /etc/shells

julio 2, 2022
Cómo eliminar archivos enumerados en otro archivo en Linux

Cómo encontrar la dirección MAC de la red en el sistema Linux

mayo 22, 2022
Cómo eliminar archivos enumerados en otro archivo en Linux

Cómo instalar el servidor MariaDB en RHEL 9 Linux

junio 28, 2022
Cómo instalar QEMU Guest Agent en la máquina virtual Proxmox VE Linux

Cómo instalar QEMU Guest Agent en la máquina virtual Proxmox VE Linux

septiembre 7, 2024

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba