Le fichier journal du système Linux contient plusieurs colonnes de contenu

Le fichier journal Linux contient 4 colonnes de contenu : 1. L'heure à laquelle l'événement s'est produit ; 2. Le nom d'hôte du serveur qui a généré l'événement ; 3. Le nom du service ou du programme qui a généré l'événement ; informations spécifiques à l'événement. Tant qu'il s'agit de fichiers journaux gérés et enregistrés uniformément par le service de journalisation rsyslogd, leurs formats sont les mêmes et ils contiennent tous 4 colonnes que les programmeurs peuvent visualiser et analyser.

L'environnement d'exploitation de ce tutoriel : système linux7.3, ordinateur Dell G3.

Les fichiers journaux sont des fichiers d'informations système importants, qui enregistrent de nombreux événements système importants, notamment les informations de connexion des utilisateurs, les informations de démarrage du système, les informations de sécurité du système, les informations relatives aux e-mails, diverses informations liées aux services, etc. Certaines de ces informations sont très sensibles, c'est pourquoi sous Linux, ces fichiers journaux ne peuvent être lus que par l'utilisateur root.

Il existe trois principaux types de journaux système Linux : les journaux du noyau et du système, les journaux des utilisateurs et les journaux des programmes.

1. Journaux du noyau et du système :

Ce type de données de journal est géré uniformément par le service système rsyslog, et les messages du noyau et les divers messages du programme système sont déterminés en fonction des paramètres de son fichier de configuration principal /etc. /rsyslog.conf Emplacement. Un nombre considérable de programmes du système laisseront les fichiers journaux à rsyslog pour la gestion, de sorte que les enregistrements de journaux utilisés par ces programmes ont également un format similaire.

2. Journal utilisateur :

Ce type de données de journal est utilisé pour enregistrer des informations relatives aux utilisateurs du système d'exploitation Linux se connectant et quittant le système, y compris le nom d'utilisateur, le terminal connecté, l'heure de connexion, l'hôte source, les opérations de processus dans utilisation, etc

3. Journal du programme :

Certaines applications choisiront de gérer elles-mêmes un fichier journal de manière indépendante pour enregistrer diverses informations sur les événements pendant l'exécution du programme, au lieu de le laisser à la gestion du service rsyslog. Étant donné que ces programmes sont uniquement responsables de la gestion de leurs propres fichiers journaux, les formats de journalisation utilisés par les différents programmes peuvent varier considérablement.

Analyse du format des fichiers journaux du système Linux

Tant que les fichiers journaux sont enregistrés par le service de journalisation rsyslogd, leurs formats sont les mêmes. Ainsi, tant que nous comprenons le format du fichier journal, nous pouvons facilement comprendre le fichier journal.

Le format du fichier journal contient les 4 colonnes suivantes :

• L'heure à laquelle l'événement s'est produit.

• Le nom d'hôte du serveur qui a généré l'événement.

• Le nom du service ou du programme qui a généré l'événement.

• Informations détaillées sur l'événement.

Vérifions le journal /var/log/secure Ce journal enregistre principalement les informations d'authentification et d'autorisation des utilisateurs, qui sont plus faciles à comprendre. La commande est la suivante :

[root@localhost ~]# vi /var/log/secure
Jun 5 03：20：46 localhost sshd[1630]：Accepted password for root from 192.168.0.104 port 4229 ssh2
# 6月5日 03：20：46 本地主机 sshd服务产生消息：接收从192.168.0.104主机的4229端口发起的ssh连接的密码
Jun 5 03：20：46 localhost sshd[1630]：pam_unix(sshd：session)：session opened for user root by (uid=0)
#时间 本地主机 sshd服务中pam_unix模块产生消息：打开用户root的会话（UID为0）
Jun 5 03：25：04 localhost useradd[1661]：new group：name=bb， GID=501
#时间 本地主机 useradd命令产生消息：新建立bb组，GID为501
Jun 5 03：25：04 localhost useradd[1661]：new user：name=bb， UID=501， GID=501， home=/home/bb， shell=/bin/bash
Jun 5 03：25：09 localhost passwd：pam_unix(passwd：chauthtok)：password changed for bb

Le contenu d'un journal est intercepté ici, et trois phrases de journal sont annotées. Pouvez-vous comprendre les deux phrases de journal restantes ? En fait, l’analyse des journaux n’est pas seulement une tâche importante de maintenance du système, mais aussi une tâche très ennuyeuse et fastidieuse. S'il y a des problèmes avec notre serveur, tels que le redémarrage ou l'arrêt du système, l'utilisateur se connecte anormalement, le service ne peut pas être utilisé normalement, etc., vous devez d'abord vérifier les journaux.

En fait, vous devriez vérifier les journaux tant que vous estimez que le serveur n'est pas normal. Même s'il n'y a aucun problème avec le serveur, vous devez prendre l'habitude de vérifier régulièrement les journaux système.

Recommandations associées : "Tutoriel vidéo Linux"

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!