Kā uzraudzīt notikumus reālā laikā Linux

Viena no paraugpraksēm, ko mēs varam veikt kā IT atbalsta personāls, ir periodisku uzdevumu veidošana, kuros ir atļauts pārskatīt visus notikumus, kas notiek operētājsistēmā.

Tas ir funkcionāli, jo notikums dod mums tādus rādītājus kā:

  • Lietotājs, kurš veica izmaiņas
  • Notikuma datums un laiks
  • Pasākuma veids un ID un citi dati.

Izmantojot šo informāciju, atbalsta uzdevumi kļūst daudz centralizētāki un vieglāk pārvaldāmi, jo mēs varam kontrolēt visu, kas tajā notiek un kas var ietekmēt tā optimālo darbību un drošību. Mēs redzam, ka mūsu rīcībā ir dažādi rīki un lietojumprogrammas šī procesa veikšanai, taču šodien Solvetic detalizēti analizēs dažas praktiskākās iespējas, lai reālā laikā analizētu un zinātu notikuma saturu.

1. Pārraugiet notikumus reāllaikā operētājsistēmā Linux, izmantojot komandu Tail


Šī komanda ļauj ekrānā parādīt faila pēdējās rindas. Pēc noklusējuma tiek rādītas pēdējās 10 rindas, taču šis skaitlis var atšķirties atkarībā no norādītajām lietotāja specifikācijām.

Tās sintakse ir šāda:

 astes opciju fails
Tur būs iespējams vienlaikus norādīt vienu vai vairākus failus.Ja ir norādīti vairāki faili, šie faili tiks parādīti tādā pašā secībā, kādā tie tika norādīti komandā.

Šīs komandas izmantošanai ir divas galvenās alternatīvas:

1. variants
Izmantojot pirmo iespēju, astes komandai būs nepieciešams -f arguments, lai izsekotu faila saturam.

 sudo tail -f (fails)
Šajā gadījumā mēs izpildīsim šādu rindu:
 sudo aste -f / etc / passwd

2. variants
Komandas otrā iespēja būtībā ir tās sākotnējā sintakse: tailf, ar šo opciju nebūs nepieciešams izmantot slēdzi -f, jo komanda ir iegulta ar -f argumentu.

 sudo tailf / etc / passwd

Žurnālu faili parasti tiek bieži pagriezti Linux serverī, izmantojot utilītu logrotate. Lai redzētu žurnāla failus, kas tiek pagriezti katru dienu, mēs varam izmantot komandu -F (karogs līdz astei).

 sudo aste -F / etc / passwd
Parametrs tail -F izsekos, vai tiek izveidots jauns žurnāla fails, un sāks izsekot jauno failu vecā faila vietā.

Pēc noklusējuma komanda tail parādīs faila pēdējās 10 rindas. Ja mēs vēlamies redzēt tikai žurnāla faila pēdējās divas rindas reālā laikā, mēs varam izmantot failu -n kopā ar karodziņu -f šādi:

 sudo aste -n2 -f / etc / passwd

2. Pārraugiet notikumus reāllaikā operētājsistēmā Linux, izmantojot komandu Multitail


MultiTail ir atvērtā pirmkoda ncurses utilīta, ko var izmantot, lai vienā logā vai vienā apvalkā parādītu vairākus žurnālfailus standarta izvadē vai vienā apvalkā, kas reāllaikā parāda pēdējās žurnālfailu rindas, līdzīgi kā astes komanda. vairāk apakšlogu.

Multitail atbalsta arī krāsu izcelšanu, filtrēšanu, logu pievienošanu un noņemšanu un daudz ko citu.

Starp tās īpašībām mums ir

  • Vairāki ievades avoti
  • Krāsains displejs ar regulāru izteiksmi svarīgas informācijas gadījumā
  • Līniju filtrēšana
  • Interaktīvas izvēlnes čaumalu noņemšanai un pievienošanai.

Lai instalētu šo utilītu, mēs varam izpildīt šādas komandas, pamatojoties uz izmantoto izplatīšanu:

 sudo apt install multitail (Debian / Ubuntu) sudo yum install multitail (RedHat / CentOS) sudo dnf install multitail (Fedora 22 un jaunākas)

Lai vienlaikus parādītu divu žurnālfailu izvadi, mēs izmantosim šādu sintaksi:

 sudo multitail (ceļš1) (ceļš2) sudo multitail / etc / passwd / var / log / syslog
Rezultāts būs šāds. Mēs varam redzēt detalizētu informāciju par katru mūsu norādīto argumentu.

PALIELINĀT

3. Pārraugiet notikumus reāllaikā operētājsistēmā Linux, izmantojot komandu lnav


Lnav (žurnālfailu navigators) ir uzlabots, maza mēroga žurnālfailu skatītājs, ar kura palīdzību būs iespējams apskatīt un analizēt žurnālfailus no termināļa.

Lnav neprasa savu serveri vai sarežģītu konfigurāciju. Lai to instalētu, mēs varam izmantot kādu no šīm komandām:

 sudo apt install lnav (Debian / Ubuntu) sudo yum install lnav (RedHat / CentOS) sudo dnf install lnav (Fedora 22 un jaunākas versijas)

PALIELINĀT

Izmantojot lnav, būs iespējams vienlaikus analizēt divu žurnālfailu saturu ar šādu sintaksi:

 sudo lnav (ceļš 1) (ceļš 2) 
Šajā gadījumā:
 sudo lnav / etc / passwd / var / log / syslog

PALIELINĀT

Tur mēs atradīsim visu detalizētu informāciju par katru ierakstu.

4. Pārraugiet notikumus reāllaikā Linux ar mazākām komandām


Izmantojot komandu mazāk, būs iespējams parādīt atlasīto žurnālfailu izvadi reāllaikā. Šai vizualizācijai mēs varam piekļūt failam un nospiest taustiņus Shift + F, lai redzētu tā saturu. Alternatīvi, faila tiešā skata ievadīšanai būs iespējams izmantot arī mazāk + F:
 sudo mazāk + F / etc / passwd

PALIELINĀT

Mēs esam redzējuši dažādas alternatīvas, kā vienkāršā un funkcionālā veidā piekļūt notikumiem reālā laikā un kontrolēt tos Linux vidē.

wave wave wave wave wave