如何分析Linux日誌

日誌中有大量的信息須要你處理，儘管有時候想要提取並不是想象中的容易。在這篇文章中咱們會介紹一些你如今就能作的基本日誌分析例子（只須要搜索便可）。咱們還將涉及一些更高級的分析，但這些須要你前期努力作出適當的設置，後期就能節省不少時間。對數據進行高級分析的例子包括生成彙總計數、對有效值進行過濾，等等。

咱們首先會向你展現如何在命令行中使用多個不一樣的工具，而後展現了一個日誌管理工具如何能自動完成大部分繁重工做從而使得日誌分析變得簡單。

用 Grep 搜索

搜索文本是查找信息最基本的方式。搜索文本最經常使用的工具是 grep。這個命令行工具在大部分 Linux 發行版中都有，它容許你用正則表達式搜索日誌。正則表達式是一種用特殊的語言寫的、能識別匹配文本的模式。最簡單的模式就是用引號把你想要查找的字符串括起來。

正則表達式

這是一個在 Ubuntu 系統的認證日誌中查找 「user hoover」 的例子：

$ grep "user hoover" /var/log/auth.log

Accepted password for hoover from 10.0.2.2 port 4792 ssh2

pam_unix(sshd:session): session opened for user hoover by (uid=0)

pam_unix(sshd:session): session closed for user hoover

構建精確的正則表達式可能很難。例如，若是咱們想要搜索一個相似端口 「4792」 的數字，它可能也會匹配時間戳、URL 以及其它不須要的數據。Ubuntu 中下面的例子，它匹配了一個咱們不想要的 Apache 日誌。

$ grep "4792" /var/log/auth.log

Accepted password for hoover from 10.0.2.2 port 4792 ssh2

74.91.21.46 - - [31/Mar/2015:19:44:32 +0000] "GET /scripts/samples/search?q=4972 HTTP/1.0" 404 545 "-" "-」

環繞搜索

另外一個有用的小技巧是你能夠用 grep 作環繞搜索。這會向你展現一個匹配前面或後面幾行是什麼。它能幫助你調試致使錯誤或問題的東西。B 選項展現前面幾行，A 選項展現後面幾行。舉個例子，咱們知道當一我的以管理員員身份登陸失敗時，同時他們的 IP 也沒有反向解析，也就意味着他們可能沒有有效的域名。這很是可疑！

$ grep -B 3 -A 2 'Invalid user' /var/log/auth.log

Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: reverse mapping checking getaddrinfo for 216-19-2-8.commspeed.net [216.19.2.8] failed - POSSIBLE BREAK-IN ATTEMPT!

Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]

Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Invalid user admin from 216.19.2.8

Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: input_userauth_request: invalid user admin [preauth]

Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]

Tail

你也能夠把 grep 和 tail 結合使用來獲取一個文件的最後幾行，或者跟蹤日誌並實時打印。這在你作交互式更改的時候很是有用，例如啓動服務器或者測試代碼更改。

$ tail -f /var/log/auth.log | grep 'Invalid user'

Apr 30 19:49:48 ip-172-31-11-241 sshd[6512]: Invalid user ubnt from 219.140.64.136

Apr 30 19:49:49 ip-172-31-11-241 sshd[6514]: Invalid user admin from 219.140.64.136

關於 grep 和正則表達式的詳細介紹並不在本指南的範圍，但 Ryan’s Tutorials 有更深刻的介紹。

日誌管理系統有更高的性能和更強大的搜索能力。它們一般會索引數據並進行並行查詢，所以你能夠很快的在幾秒內就能搜索 GB 或 TB 的日誌。相比之下，grep 就須要幾分鐘，在極端狀況下可能甚至幾小時。日誌管理系統也使用相似 Lucene 的查詢語言，它提供更簡單的語法來檢索數字、域以及其它。

用 Cut、 AWK、 和 Grok 解析

命令行工具

Linux 提供了多個命令行工具用於文本解析和分析。當你想要快速解析少許數據時很是有用，但處理大量數據時可能須要很長時間。

Cut

cut 命令容許你從有分隔符的日誌解析字段。分隔符是指能分開字段或鍵值對的等號或逗號等。

假設咱們想從下面的日誌中解析出用戶：

pam_unix(su:auth): authentication failure; logname=hoover uid=1000 euid=0 tty=/dev/pts/0 ruser=hoover rhost=  user=root

咱們能夠像下面這樣用 cut 命令獲取用等號分割後的第八個字段的文本。這是一個 Ubuntu 系統上的例子：

$ grep "authentication failure" /var/log/auth.log | cut -d '=' -f 8

root

hoover

root

nagios

nagios

AWK

另外，你也可使用 awk，它能提供更強大的解析字段功能。它提供了一個腳本語言，你能夠過濾出幾乎任何不相干的東西。

例如，假設在 Ubuntu 系統中咱們有下面的一行日誌，咱們想要提取登陸失敗的用戶名稱：

Mar 24 08:28:18 ip-172-31-11-241 sshd[32701]: input_userauth_request: invalid user guest [preauth]

你能夠像下面這樣使用 awk 命令。首先，用一個正則表達式 /sshd.*invalid user/ 來匹配 sshd invalid user 行。而後用 { print $9 } 根據默認的分隔符空格打印第九個字段。這樣就輸出了用戶名。

$ awk '/sshd.*invalid user/ { print $9 }' /var/log/auth.log

guest

admin

info

test

ubnt

你能夠在 Awk 用戶指南 中閱讀更多關於如何使用正則表達式和輸出字段的信息。

日誌管理系統

日誌管理系統使得解析變得更加簡單，使用戶能快速的分析不少的日誌文件。他們能自動解析標準的日誌格式，好比常見的 Linux 日誌和 Web 服務器日誌。這能節省不少時間，由於當處理系統問題的時候你不須要考慮本身寫解析邏輯。

下面是一個 sshd 日誌消息的例子，解析出了每一個 remoteHost 和 user。這是 Loggly 中的一張截圖，它是一個基於雲的日誌管理服務。

也能夠對非標準格式自定義解析。一個經常使用的工具是 Grok，它用一個常見正則表達式庫，能夠解析原始文本爲結構化 JSON。下面是一個 Grok 在 Logstash 中解析內核日誌文件的事例配置：

filter{

  grok  {

    match => {"message" => "%{CISCOTIMESTAMP:timestamp} %{HOST:host} %{WORD:program}%{NOTSPACE} %{NOTSPACE}%{NUMBER:duration}%{NOTSPACE} %{GREEDYDATA:kernel_logs}"

  }

}

用 Rsyslog 和 AWK 過濾

過濾使得你能檢索一個特定的字段值而不是進行全文檢索。這使你的日誌分析更加準確，由於它會忽略來自其它部分日誌信息不須要的匹配。爲了對一個字段值進行搜索，你首先須要解析日誌或者至少有對事件結構進行檢索的方式。

如何對應用進行過濾

一般，你可能只想看一個應用的日誌。若是你的應用把記錄都保存到一個文件中就會很容易。若是你須要在一個彙集或集中式日誌中過濾一個應用就會比較複雜。下面有幾種方法來實現：

用 rsyslog 守護進程解析和過濾日誌。下面的例子將 sshd 應用的日誌寫入一個名爲 sshd-message 的文件，而後丟棄事件以便它不會在其它地方重複出現。你能夠將它添加到你的 rsyslog.conf 文件中測試這個例子。

:programname, isequal, 「sshd」 /var/log/sshd-messages

&~

用相似 awk 的命令行工具提取特定字段的值，例如 sshd 用戶名。下面是 Ubuntu 系統中的一個例子。

$ awk '/sshd.*invalid user/ { print $9 }' /var/log/auth.log

guest

admin

info

test

ubnt

用日誌管理系統自動解析日誌，而後在須要的應用名稱上點擊過濾。下面是在 Loggly 日誌管理服務中提取 syslog 域的截圖。咱們對應用名稱 「sshd」 進行過濾，

如何過濾錯誤

一我的最但願看到日誌中的錯誤。不幸的是，默認的 syslog 配置不直接輸出錯誤的嚴重性，也就使得難以過濾它們。

這裏有兩個解決該問題的方法。首先，你能夠修改你的 rsyslog 配置，在日誌文件中輸出錯誤的嚴重性，使得便於查看和檢索。在你的 rsyslog 配置中你能夠用 pri-text 添加一個 模板，像下面這樣：

"<%pri-text%> : %timegenerated%,%HOSTNAME%,%syslogtag%,%msg%n"

這個例子會按照下面的格式輸出。你能夠看到該信息中指示錯誤的 err。

<authpriv.err> : Mar 11 18:18:00,hoover-VirtualBox,su[5026]:, pam_authenticate: Authentication failure

你能夠用 awk 或者 grep 檢索錯誤信息。在 Ubuntu 中，對這個例子，咱們能夠用一些語法特徵，例如 . 和 >，它們只會匹配這個域。

$ grep '.err>' /var/log/auth.log

<authpriv.err> : Mar 11 18:18:00,hoover-VirtualBox,su[5026]:, pam_authenticate: Authentication failure

你的第二個選擇是使用日誌管理系統。好的日誌管理系統能自動解析 syslog 消息並抽取錯誤域。它們也容許你用簡單的點擊過濾日誌消息中的特定錯誤。

顯示了高亮錯誤嚴重性的 syslog 域，表示咱們正在過濾錯誤.

免費領取兄弟連IT教育原創linux運維工程師視頻/細說linux教程，詳情諮詢官網客服：http://www.lampbrother.net/linux/

學PHP、Linux、HTML五、UI、Android等視頻教程（課件+筆記+視頻）！聯繫Q2430675018

歡迎加入linux交流羣 羣號： 478068715