Linux-admin-log-management

提供:Dev Guides
移動先:案内検索

Linux管理-ログ管理

systemdは、CentOS Linuxのシステムロギングの管理方法を変更しました。 システム上のすべてのデーモンがログエントリをソートおよびフィルタリングする主な方法として_tail_や_grep_などのツールを使用するよりも、個々の場所にログを配置する代わりに、 journald はシステムログの分析に単一の管理ポイントをもたらしました。

_systemd_ロギングの背後にある主なコンポーネントは、journal、jounralctl、およびjournald.confです。

_journald_はメインのロギングデーモンであり、_journald.conf_を編集することで構成されますが、_journalctl_は_journald_によって記録されたイベントの分析に使用されます。

_journald_によって記録されるイベントには、カーネルイベント、ユーザープロセス、およびデーモンサービスが含まれます。

正しいシステムタイムゾーンを設定する

_journalctl_を使用する前に、システム時刻が正しい時刻に設定されていることを確認する必要があります。 これを行うには、_timedatectl_を使用します。

現在のシステム時刻を確認しましょう。 

[root@centos rdc]# timedatectl status
Local time: Mon 2017-03-20 00:14:49 MDT
Universal time: Mon 2017-03-20 06:14:49 UTC
RTC time: Mon 2017-03-20 06:14:49
Time zone: America/Denver (MDT, -0600)
NTP enabled: yes
NTP synchronized: yes
RTC in local TZ: no
DST active: yes
Last DST change: DST began at
              Sun 2017-03-12 01:59:59 MST
              Sun 2017-03-12 03:00:00 MDT
Next DST change: DST ends (the clock jumps one hour backwards) at
              Sun 2017-11-05 01:59:59 MDT
              Sun 2017-11-05 01:00:00 MST

[root@centos rdc]#

現在、システムは現地時間帯に対応しています。 システムがそうでない場合、正しいタイムゾーンを設定しましょう。 設定を変更すると、CentOSは現在のタイムゾーンからのタイムゾーンオフセットを自動的に計算し、システムクロックをすぐに調整します。

_timedatectl_を使用してすべてのタイムゾーンを一覧表示します- 

[root@centos rdc]# timedatectl list-timezones
Africa/Abidjan
Africa/Accra
Africa/Addis_Ababa
Africa/Algiers
Africa/Asmara
Africa/Bamako
Africa/Bangui
Africa/Banjul
Africa/Bissau

これは、_timedatectl list-timezones_からの競合する出力です。 特定のローカルタイムゾーンを見つけるために、grepコマンドを使用することができます- 

[root@centos rdc]# timedatectl list-timezones | grep -i "america/New_York"
America/New_York
[root@centos rdc]#

CentOSで使用されるラベルは通常、スペースではなくアンダースコアを使用した国/地域です(New_York対 "New York")。

今、私たちのタイムゾーンを設定しましょう- 

[root@centos rdc]# timedatectl set-timezone "America/New_York"

[root@centos rdc]# date
Mon Mar 20 02:28:44 EDT 2017

[root@centos rdc]#

システムクロックは自動的に時刻を調整する必要があります。

journalctlを使用してログを分析する

_journalctl_を使用する場合の一般的なコマンドラインスイッチ-

Switch Action
-k Lists only kernel messages
-u Lists by specific unit (httpd, sshd, etc…​)
-b Boots the label offset
-o Logs the output format
-p Filters by log type (either name or number)
-F Fieldname or fieldnamevalue
--utc Time in UTC offset
--since Filter by timeframe

ブートログを調べる

最初に、CentOS Linuxのブートログを調べて構成します。 最初に気付くのは、CentOSはデフォルトでは、再起動後も持続するブートログを保存しないことです。

再起動インスタンスごとに起動ログを確認するには、次のコマンドを発行できます- 

[root@centos rdc]# journalctl --list-boots
-4 bca6380a31a2463aa60ba551698455b5 Sun 2017-03-19 22:01:57 MDT—Sun 2017-03-19 22:11:02 MDT
-3 3aaa9b84f9504fa1a68db5b49c0c7208 Sun 2017-03-19 22:11:09 MDT—Sun 2017-03-19 22:15:03 MDT
-2 f80b231272bf48ffb1d2ce9f758c5a5f Sun 2017-03-19 22:15:11 MDT—Sun 2017-03-19 22:54:06 MDT
-1 a071c1eed09d4582a870c13be5984ed6 Sun 2017-03-19 22:54:26 MDT—Mon 2017-03-20 00:48:29 MDT
 0 9b4e6cdb43b14a328b1fa6448bb72a56 Mon 2017-03-20 00:48:38 MDT—Mon 2017-03-20 01:07:36 MDT

[root@centos rdc]#

システムを再起動すると、別のエントリが表示されます。 

[root@centos rdc]# journalctl --list-boots
-5 bca6380a31a2463aa60ba551698455b5 Sun 2017-03-19 22:01:57 MDT—Sun 2017-03-19 22:11:02 MDT
-4 3aaa9b84f9504fa1a68db5b49c0c7208 Sun 2017-03-19 22:11:09 MDT—Sun 2017-03-19 22:15:03 MDT
-3 f80b231272bf48ffb1d2ce9f758c5a5f Sun 2017-03-19 22:15:11 MDT—Sun 2017-03-19 22:54:06 MDT
-2 a071c1eed09d4582a870c13be5984ed6 Sun 2017-03-19 22:54:26 MDT—Mon 2017-03-20 00:48:29 MDT
-1 9b4e6cdb43b14a328b1fa6448bb72a56 Mon 2017-03-20 00:48:38 MDT—Mon 2017-03-20 01:09:57 MDT
 0 aa6aaf0f0f0d4fcf924e17849593d972 Mon 2017-03-20 01:10:07 MDT—Mon 2017-03-20 01:12:44 MDT

[root@centos rdc]#

さて、最後のブートロギングインスタンスを調べてみましょう- 

root@centos rdc]# journalctl -b -5
-- Logs begin at Sun 2017-03-19 22:01:57 MDT, end at Mon 2017-03-20 01:20:27 MDT. --
Mar 19 22:01:57 localhost.localdomain systemd-journal[97]: Runtime journal is using 8.0M
(max allowed 108.4M
Mar 19 22:01:57 localhost.localdomain kernel: Initializing cgroup subsys cpuset
Mar 19 22:01:57 localhost.localdomain kernel: Initializing cgroup subsys cpu
Mar 19 22:01:57 localhost.localdomain kernel: Initializing cgroup subsys cpuacct
Mar 19 22:01:57 localhost.localdomain kernel: Linux version 3.10.0514.6.2.el7.x86_64
(builder@kbuilder.dev.
Mar 19 22:01:57 localhost.localdomain kernel: Command line:
BOOT_IMAGE=/vmlinuz-3.10.0-514.6.2.el7.x86_64 ro
Mar 19 22:01:57 localhost.localdomain kernel: Disabled fast string operations
Mar 19 22:01:57 localhost.localdomain kernel: e820: BIOS-provided physical RAM map:

上記は、最後のブートからの要約された出力です。 また、数時間、数日、数週間、数か月、さらには年単位でブートログを参照することもできます。 ただし、デフォルトではCentOSは永続的なブートログを保存しません。 ブートログを永続的に保存できるようにするには、いくつかの構成変更を行う必要があります-

  • ブートログの中央ストレージポイントを作成する
  • 新しいログフォルダーに適切なアクセス許可を付与する
  • 永続的なロギング用にjournald.confを構成する

永続的なブートログのブート場所の構成

journald_が永続的なブートログを保存する最初の場所は/var/log/journal_です。 これはデフォルトでは存在しないため、作成しましょう- 

[root@centos rdc]# mkdir/var/log/journal

今、ディレクトリに_journald_デーモンへの適切なアクセス許可を与えましょう- 

systemd-tmpfiles --create --prefix/var/log/journal

最後に、journald_に永続的なブートログを保存するように指示します。 _vim_または好みのテキストエディターで、/etc/systemd/jounrald.conf "_を開きます。 

# See journald.conf(5) for details.
[Journal]=Storage=peristent

関心のある行は、Storage = _です。 最初にコメント#_を削除してから、上記のように Storage = persistent に変更します。 CentOSシステムを保存して再起動し、_journalctl list-boots_を実行するときに複数のエントリがあるように注意してください。

-VPSプロバイダーからのような_machine-id_が絶えず変化すると、永続的なブートログの保存時に_journald_が失敗する可能性があります。 このようなシナリオには多くの回避策があります。 もっともらしいVPS回避策を見つけた人からの信頼できるアドバイスに従うよりも、CentOS管理フォーラムに投稿された現在の修正を熟読することをお勧めします。

特定のブートログを調べるには、_journald --list-boots_を使用して各オフセットを取得する必要があります。 したがって、2番目のブートログを確認するために使用します- 

journalctl -b -2

ブートログオフセットが指定されていない_-b_のデフォルトは、最後のリブート後、常に現在のブートログになります。

ログタイプ別にログを分析する

_journald_からのイベントには番号が付けられ、7つの異なるタイプに分類されます- 

0 - emerg   :: System is unusable
1 - alert   :: Action must be taken immediatly
2 - crit    :: Action is advised to be taken immediatly
3 - err     :: Error effecting functionality of application
4 - warning :: Usually means a common issue that can affect security or usilbity
5 - info    :: logged informtation for common operations
6 - debug   :: usually disabled by default to troubleshoot functionality

したがって、すべての警告を表示する場合は、_journalctl_を介して次のコマンドを発行できます- 

[root@centos rdc]# journalctl -p 4
-- Logs begin at Sun 2017-03-19 22:01:57 MDT, end at Wed 2017-03-22 22:33:42 MDT. --
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: RSDP 00000000000f6a10 00024
(v02 PTLTD )
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: XSDT 0000000095eea65b 0005C
(v01 INTEL  440BX    06040000 VMW  01
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: FACP 0000000095efee73 000F4
(v04 INTEL  440BX    06040000 PTL  00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: DSDT 0000000095eec749 1272A
(v01 PTLTD  Custom   06040000 MSFT 03
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: FACS 0000000095efffc0 00040
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: BOOT 0000000095eec721 00028
(v01 PTLTD  $SBFTBL$ 06040000  LTP 00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: APIC 0000000095eeb8bd 00742
(v01 PTLTD  ? APIC   06040000  LTP 00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: MCFG 0000000095eeb881 0003C
(v01 PTLTD  $PCITBL$ 06040000  LTP 00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: SRAT 0000000095eea757 008A8
(v02 VMWARE MEMPLUG  06040000 VMW  00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: HPET 0000000095eea71f 00038
(v01 VMWARE VMW HPET 06040000 VMW  00
Mar 19 22:01:57 localhost.localdomain kernel: ACPI: WAET 0000000095eea6f7 00028
(v01 VMWARE VMW WAET 06040000 VMW  00
Mar 19 22:01:57 localhost.localdomain kernel: Zone ranges:
Mar 19 22:01:57 localhost.localdomain kernel:   DMA      [mem 0x000010000x00ffffff]
Mar 19 22:01:57 localhost.localdomain kernel:   DMA32    [mem 0x010000000xffffffff]
Mar 19 22:01:57 localhost.localdomain kernel:   Normal   empty
Mar 19 22:01:57 localhost.localdomain kernel: Movable zone start for each node
Mar 19 22:01:57 localhost.localdomain kernel: Early memory node ranges
Mar 19 22:01:57 localhost.localdomain kernel:   node   0: [mem 0x000010000x0009dfff]
Mar 19 22:01:57 localhost.localdomain kernel:   node   0: [mem 0x001000000x95edffff]
Mar 19 22:01:57 localhost.localdomain kernel:   node   0: [mem 0x95f000000x95ffffff]
Mar 19 22:01:57 localhost.localdomain kernel: Built 1 zonelists in Node order,
mobility grouping on.  Total pages: 60
Mar 19 22:01:57 localhost.localdomain kernel: Policy zone: DMA32
Mar 19 22:01:57 localhost.localdomain kernel: ENERGY_PERF_BIAS: Set to
'normal', was 'performance'

上記は、システム上の過去4日間のすべての警告を示しています。

systemdでログを表示および閲覧する新しい方法は、慣れるのにほとんど練習や調査を必要としません。 ただし、さまざまな出力形式と、すべてのパッケージ化されたデーモンログをユニバーサルにする特別な注意事項があるため、受け入れる価値があります。 _journald_は、従来のログ分析方法よりも優れた柔軟性と効率性を提供します。

https://www.finddevguides.com/index.php?title=Linux-admin-log-management&oldid=34971」から取得
Powered by MediaWiki