15.8 Linux日志分析工具

日志是非常重要的系統(tǒng)文件，管理員每天的重要工作就是分析和查看服務(wù)器的日志，判斷服務(wù)器的健康狀態(tài)。但是日志管理又是一項非常枯燥的工作，如果需要管理員手工查看服務(wù)器上所有的日志，那實在是一項非常痛苦的工作。有些管理員就會偷懶，省略日志的檢測工作，但是這樣做非常容易導(dǎo)致服務(wù)器出現(xiàn)問題。

那么我們有取代的方案嗎？有，那就是日志分析工具。這些日志分析工具會詳細地查看日志，同時分析這些日志，并且把分析的結(jié)果通過郵件的方式發(fā)送給 root 用戶。這樣，我們每天只要查看日志分析工具的郵件，就可以知道服務(wù)器的基本情況，而不用挨個檢查日志了。這樣系統(tǒng)管理員就可以從繁重的日常工作中解脫出來，去處理更加重要的工作。

在 CentOS 中自帶了一個日志分析工具，就是 logwatch。不過這個工具默認沒有安裝（因為我們選擇的是“Basic Server”），所以需要手工安裝。安裝命令如下：

[root@localhost Packages]# yum -y install logwatch

安裝完成之后，需要手工生成 logwatch 的配置文件。默認配置文件是 /etc/logwatch/conf/logwatch.conf，不過這個配置文件是空的，需要把模板配置文件復(fù)制過來。命令如下：

[root@localhost ~]# cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/logwatch.conf \#復(fù)制配置文件

這個配置文件的內(nèi)容中絕大多數(shù)是注釋，我們把注釋去掉，那么這個配置文件的內(nèi)容如下所示：

[root@localhost ~]# vi /etc/logwatch/conf/logwatch.conf \#查看配置文件 LogDir = /var/log \#logwatch會分析和統(tǒng)計/var/log/中的日志 TmpDir = /var/cache/logwatch \#指定logwatch的臨時目錄 MailTo = root \#日志的分析結(jié)果，給root用戶發(fā)送郵件 MailFrom = Logwatch \#郵件的發(fā)送者是Logwatch，在接收郵件時顯示 Print = \#是否打印。如果選擇“yes”，那么日志分析會被打印到標(biāo)準(zhǔn)輸出，而且不會發(fā)送郵件。我們在這里不打印，#而是給root用戶發(fā)送郵件 \#Save = /tmp/logwatch \#如果開啟這一項，日志分析就不會發(fā)送郵件，而是保存在/tmp/logwatch文件中 \#如果開啟這一項，日志分析就不會發(fā)送郵件，而是保存在/tmp/logwatch文件中 Range = yesterday \#分析哪天的日志。可以識別“All”“Today”“Yesterday”，用來分析“所有日志”“今天日志”“昨天日志” Detail = Low \#日志的詳細程度。可以識別“Low”“Med”“High”。也可以用數(shù)字表示，范圍為0～10，“0”代表最不詳細，“10”代表最詳細 Service = All \#分析和監(jiān)控所有日志 Service = "-zz-network" \#但是不監(jiān)控“-zz-network”服務(wù)的日志。“-服務(wù)名”表示不分析和監(jiān)控此服務(wù)的日志 Service = "-zz-sys" Service = "-eximstats"

這個配置文件基本不需要修改（我在實驗時把 Range 項改為了 All，否則一會兒的實驗可以分析的日志過少），它就會默認每天執(zhí)行。它為什么會每天執(zhí)行呢？聰明的讀者已經(jīng)想到了，一定是 crond 服務(wù)的作用。沒錯，logwatch 一旦安裝，就會在 /etc/cron.daily/ 目錄中建立“0logwatch”文件，用于在每天定時執(zhí)行 logwatch 命令，分析和監(jiān)控相關(guān)日志。

如果想要讓這個日志分析馬上執(zhí)行，則只需執(zhí)行 logrotate 命令即可。命令如下：

[root@localhost ~]# logwatch \#馬上執(zhí)行l(wèi)ogwatch日志分析工具 [root01ocalhost ~]# mail \#查看郵件 Heirloom Mail version 12.4 7/29/08. Type ? for help, "/var/spool/mail/root": 5 messages 1 new 2 unread 1 logwatch@localhost.1 Fri Jun 7 11:17 42/1482 "Logwatch for localhost.localdomain (Linux)" U 2 logwatch@localhost.1 Fri Jun 7 11:19 42/1481 "Logwatch for localhost.localdomain (Linux)" 3 logwatch@localhost.1 Fri Jun 7 11:23 1234/70928 "Logwatch for localhost.localdomain (Linux)" 4 logwatch@localhost.1 Fri Jun 7 11:24 190/5070 "Logwatch for localhost.localdomain (Linux)" 5 logwatch@localhost.1 Fri Jun 7 11:55 41/1471 "Logwatch for localhost.localdomain (Linux)" \>N 6 logwatch@localhost.1 Fri Jun 7 11:57 189/5059 "Logwatch for localhost.localdomain (linux)" \#第6封郵件就是剛剛生成的曰志分析郵件，"N"代表沒有查看 & 6 Message 6: From root@localhost.localdomain Fri Jun 7 11:57:35 2013 Return-Path: X-Original-To: root Delivered-To: root@localhost.localdomain To: root@localhost.localdomain From: logwatch@localhost.localdomain Subject: Logwatch for localhost.localdomain (Linux) Content-Type: text/plain; charset="iso-8859-1" Date: Fri, 7 Jun 2013 11:57:33 +0800 (CST) Status: R \######## Logwatch 7.3.6 (05/19/07) ################ Processing Initiated: Fri Jun 7 11:57:33 2013 Date Range Processed: all Detail Level of Output: 0 Type of Output: unformatted Logfiles for Host: localhost.localdomain \################################################### \#上面是曰志分析的時間和日期 ...省略部分輸出... --------- Connections (secure-log) Begin----------- \#分析secure.log日志的內(nèi)容。統(tǒng)計新建立了哪些用戶和組，以及錯誤登錄信息 New Users： bb (501) def (503) hjk (504) zhangsan (505) dovecot (97) dovenull (498) aa (500) New Groups: bb (501) def (503) hjk (504) zhangsan (505) dovecot (97) dovenull (498) aa (500) Failed logins: User root: (null): 3 Time(s) Root logins on tty's: 7 Time(s). **Unmatched Entries** groupadd: group added to /etc/group: name=dovecot, GID=97: 1 Time(s) groupadd: group added to /etc/group: name=dovenul1, GID=498: 1 Time(s) groupadd: group added to /etc/gshadow: name=dovecot: 1 Time(s)groupadd: group added to /etc/gshadow: name=dovenull: 1 Time(s) --------Connections (secure-log)End------- -------------SSHD Begin------------------- \#分析SSHD的日志。可以知道哪些IP地址連接過服務(wù)器 SSHD Killed: 7 Time(s) SSHD Started: 24 Time(s) Users logging in through sshd: 192.168.0.104: 10 times 192.168.0.108: 8 times 192.168.0.101: 6 times 192.168.0.126: 4 times 192.168.0.100: 3 times 192.168.0.105: 3 times 192.168.0.106: 2 times 192.168.0.102: 1 time 192.168.0.103: 1 time SFTP subsystem requests: 3. Time(s) **Unmatched Entries** Exiting on signal 15 : 6 time(s) ----------------SSHD End----------- --------------- yum Begin --------- \#統(tǒng)計yum安裝的軟件。可以知道我們安裝了哪些軟件 Packages Installed: perl-YAML-Syck-1.07-4.el6.i686 perl-Date-Manip-6.24-1.el6.noarch logwatch-7.3.6-49.el6.noarch -----------yum End------------- --------Disk Space Begin------- \#統(tǒng)計磁盤空間情況 Filesystem Size Used Avail Use% Mounted on /dev/sda3 20G 1.9G 17G 11% / /dev/sda1 194M 26M 158M 15% /boot /dev/sr0 3.5G 3.5G 0 100% /mnt/cdrom ---------Disk Space End----------------- \#########Logwatch End ##################

有了這個日志分析工具，日志管理工作就會輕松很多。當(dāng)然，在 Linux 中可以支持很多日志分析工具，我們在這里只介紹了 CentOS 自帶的 logwatch，大家可以根據(jù)自己的習(xí)慣選擇相應(yīng)的日志分析工具。

Linux 日志分析服務(wù) LOG

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實后本網(wǎng)站將在24小時內(nèi)刪除侵權(quán)內(nèi)容。