Linux 로그를 실시간으로 모니터링합니다. 우분투 순서대로 로그 파일 리눅스 어디에 로그

또한 구문 강조 표시, 금기 사항 추가 및 상태 표시줄의 다양한 유용성을 지원합니다. 단점은 행동의 불안정성과 정지를 포함합니다. 희망 lnav제 생각에는 매우 유용한 프로그램으로 활발히 개발될 것입니다.

소개

GNU/Linux를 훌륭한 운영 체제로 만드는 것 중 하나는 시스템에서 발생하는 거의 모든 것이 어떤 방식으로 기록될 수 있다는 것입니다. 이 정보는 정보에 입각한 방식으로 시스템을 사용하는 데 매우 중요하며 시스템 및 응용 프로그램 문제를 해결하는 데 사용하는 첫 번째 리소스 중 하나여야 합니다. 로그는 어디를 먼저 봐야할지 알고 있는 한 알아야 할 거의 모든 것을 알려줄 수 있습니다.

Ubuntu 시스템은 다양한 시스템 로그 파일을 사용하여 중요한 정보를 제공합니다. 이러한 로그 파일은 일반적으로 표준 로그 파일 형식의 일반 ASCII 텍스트이며 대부분 기존 시스템 로그 하위 디렉토리인 /var/log에 있습니다. 대부분은 시스템 로그 데몬, 시스템 및 특정 응용 프로그램을 대신하여 syslogd에 의해 생성되는 반면 일부 응용 프로그램은 /var/log 의 파일에 직접 기록하여 자체 로그를 생성합니다.

이 가이드에서는 이러한 시스템 로그 파일 중 몇 가지를 읽고 사용하는 방법, 시스템 로깅 데몬인 syslogd를 사용하고 구성하는 방법, 로그 회전이 작동하는 방법에 대해 설명합니다. 참조 자원추가 정보 섹션.

대상 고객

이 가이드는 콘솔을 사용하고 텍스트 편집기를 사용하여 텍스트 파일을 편집한 경험이 있는 경우 사용하기에 충분히 간단합니다. 상대적으로 명령줄을 처음 사용하는 경우 이러한 파일을 찾는 데 도움이 될 수 있는 몇 가지 필수 명령에 대해서는 이 문서의 끝 부분을 참조하십시오.

시스템 로그

시스템 로그는 주로 사용자가 추가한 추가 응용 프로그램이 아닌 Ubuntu 시스템의 기능을 처리합니다. 예를 들면 인증 메커니즘, 시스템 데몬, 시스템 메시지 및 모든 것을 포괄하는 시스템 로그 자체가 있습니다. 시스템 로그.

인증 로그

권한 부여 로그는 PAM(Pluggable Authentication Module) 시스템, sudo 명령, sshd에 대한 원격 로그인 등과 같이 사용자 암호를 묻는 사용자 권한 부여 메커니즘인 권한 부여 시스템의 사용을 추적합니다. 인증 로그 파일은 /var/log/auth.log 에서 액세스할 수 있습니다. 이 로그는 사용자 로그인 및 sudo 명령 사용에 대해 알아보는 데 유용합니다.

grep을 사용하여 볼륨을 줄입니다. 예를 들어 sshd 로그인과 관련된 인증 로그의 정보만 보려면 다음을 사용하십시오.

데몬 로그

데몬은 일반적으로 사람의 개입 없이 백그라운드에서 실행되는 프로그램으로 시스템의 적절한 실행에 중요한 일부 작업을 수행합니다. /var/log/daemon.log의 데몬 로그에는 Gnome Display Manager 데몬 gdm , Bluetooth HCI 데몬 hcid 또는 MySQL 데이터베이스 데몬 mysqld 와 같은 실행 중인 시스템 및 응용 프로그램 데몬에 대한 정보가 포함되어 있습니다. 이렇게 하면 특정 데몬의 문제를 해결하는 데 도움이 될 수 있습니다.

다시 grep을 사용하여 관심 있는 데몬의 이름을 연결하여 특정 정보를 찾습니다.

디버그 로그

/var/log/debug에 있는 디버그 로그는 DEBUG 수준에서 syslogd에 기록하는 Ubuntu 시스템 및 애플리케이션의 자세한 디버그 메시지를 제공합니다.

커널 로그

/var/log/kern.log의 커널 로그는 Ubuntu Linux 커널의 자세한 메시지 로그를 제공합니다. 이러한 메시지는 예를 들어 새 커널 또는 사용자 정의 커널의 문제 해결에 유용할 수 있습니다.

커널 링 버퍼

커널 링 버퍼는 실제로 로그 파일 그 자체가 아니라 dmesg 유틸리티를 통해 커널 부팅 메시지를 쿼리할 수 있는 실행 중인 커널의 영역입니다. 메시지를 보려면 다음을 사용하십시오.

또는 예를 들어 Plug & Play 시스템을 언급하는 행을 검색하려면 다음과 같이 grep을 사용하십시오.

기본적으로 시스템 초기화 스크립트 /etc/init.d/bootmisc.sh는 모든 부팅 메시지를 /var/log/dmesg 파일에도 보냅니다. 일반적인 방법으로 이 파일을 보고 검색할 수 있습니다.

시스템 로그

일반적으로 시스템 로그에는 기본적으로 Ubuntu 시스템에 대한 가장 많은 정보가 포함되어 있습니다. /var/log/syslog 에 있으며 다른 로그에는 없는 정보가 포함될 수 있습니다. 다른 로그에서 원하는 로그 정보를 찾을 수 없는 경우 시스템 로그를 참조하십시오. 또한 /var/log/messages에 있던 모든 항목이 포함되어 있습니다.

애플리케이션 로그

또한 많은 애플리케이션이 /var/log 에 로그를 생성합니다. /var/log 하위 디렉토리의 내용을 나열하면 Apache 2 웹 서버의 로그를 나타내는 /var/log/apache2 또는 삼바 서버. 가이드의 이 섹션에서는 애플리케이션 로그의 몇 가지 구체적인 예와 그 안에 포함된 정보를 소개합니다.

Apache HTTP 서버 로그

Ubuntu에서 Apache2의 기본 설치는 /var/log/apache2 로그 하위 디렉토리를 생성합니다. 이 하위 디렉토리에는 두 가지 목적이 있는 두 개의 로그 파일이 있습니다.

/var/log/apache2/access.log - 제공되는 모든 페이지와 웹 서버가 로드하는 모든 파일의 기록.

/var/log/apache2/error.log - HTTP 서버에서 보고한 모든 오류 조건의 기록

기본적으로 Apache가 파일이나 페이지에 액세스할 때마다 액세스 로그에는 IP 주소, 시간 및 날짜, 브라우저 식별 문자열, HTTP 결과 코드 및 실제 쿼리 텍스트(일반적으로 페이지 보기에 대한 GET)가 기록됩니다. 전체 설명은 Apache 설명서를 참조하십시오. 이 파일에서 많은 정보를 수집할 수 있으며 실제로 이러한 로그 분석을 수행하는 많은 통계 패키지가 존재합니다.

또한 오류가 발생할 때마다 Apache는 오류 로그에 한 줄을 추가합니다. 오류 및 경고 메시지가 비활성화된 상태에서 PHP를 실행하는 경우 이것이 버그를 식별하는 유일한 방법이 될 수 있습니다.

CUPS 인쇄 시스템 로그

CUPS(Common Unix Printing System)는 기본 로그 파일인 /var/log/cups/error_log를 사용하여 정보 및 오류 메시지를 저장합니다. Ubuntu에서 인쇄 문제를 해결해야 하는 경우 이 로그를 시작하는 것이 좋습니다.

루트킷 헌터 로그

Rootkit Hunter 유틸리티(rkhunter)는 시스템 손상의 징후인 백도어, 스니퍼 및 루트킷이 있는지 Ubuntu 시스템을 확인합니다. rkhunter가 사용하는 로그는 /var/log/rkhunter.log에 있습니다.

Samba SMB 서버 로그

SMB(Server Message Block Protocol) 서버인 Samba는 Ubuntu 컴퓨터와 SMB 프로토콜을 지원하는 다른 컴퓨터 간에 파일을 공유하는 데 널리 사용됩니다. Samba는 /var/log/samba 하위 디렉토리에 세 가지 유형의 로그를 보관합니다.

log.nmbd - Samba의 NETBIOS over IP 기능(네트워크 항목)과 관련된 메시지

log.smbd - Samba의 SMB/CIFS 기능(파일 및 인쇄 공유 항목)과 관련된 메시지

통나무. - 로그 파일 이름에 포함된 IP 주소의 서비스 요청과 관련된 메시지(예: log.192.168.1.1 ).

X11 서버 로그

Ubuntu와 함께 사용되는 기본 X11 Windowing Server는 Xorg X11 서버이며 컴퓨터에 디스플레이가 하나만 정의되어 있다고 가정하면 /var/log/Xorg.0.log 파일에 로그 메시지를 저장합니다. 이 로그는 X11 환경의 문제를 진단하는 데 유용합니다.

사람이 읽을 수 없는 로그

/var/log 하위 디렉토리에 있는 일부 로그 파일은 사람이 아닌 응용 프로그램에서 읽을 수 있도록 설계되었습니다. /var/log에 나타나는 이러한 로그 파일의 몇 가지 예는 다음과 같습니다.

로그인 실패 로그

/var/log/faillog에 있는 로그인 실패 로그는 실제로 faillog 명령에 의해 구문 분석되고 표시되도록 설계되었습니다. 예를 들어 최근 로그인 실패를 인쇄하려면 다음을 사용하십시오.

마지막 로그인 로그

/var/log/lastlog에 있는 마지막 로그인 로그는 일반적으로 사람이 구문 분석하고 검사해서는 안 되며 lastlog 명령과 함께 사용해야 합니다. 예를 들어 lastlog 명령으로 로그인 목록을 보려면 less 명령으로 화면당 한 페이지씩 표시하려면 다음 명령을 사용하십시오.

로그인 기록 로그

/var/log/wtmp 파일에는 로그인 레코드가 포함되어 있지만 위의 /var/log/lastlog와 달리 /var/log/wtmp는 최근 로그인 목록을 표시하는 데 사용되지 않고 대신 who와 같은 다른 유틸리티에서 사용됩니다. 현재 로그인한 사용자 목록을 표시하는 명령입니다. 이 명령은 현재 컴퓨터에 로그인한 사용자를 표시합니다.

시스템 로깅 데몬(syslogd)

sysklogd 라고도 하는 시스템 로깅 데몬 syslogd 는 다양한 소스에서 로깅 메시지를 기다리고 해당 메시지를 적절한 파일 또는 네트워크 대상으로 라우팅합니다. syslogd에 기록된 메시지에는 일반적으로 특정 로그 정보 외에 시스템 호스트 이름 및 타임스탬프와 같은 공통 요소가 포함됩니다.

syslogd 구성

syslogd 데몬의 구성 파일은 /etc/syslog.conf 입니다. 이 파일의 각 항목은 선택기와 작업의 두 필드로 구성됩니다. 선택기 필드는 예를 들어 다음과 같이 기록할 기능을 지정합니다. 인증인증을 처리하는 시설 및 이러한 정보를 기록할 우선순위 수준(예: 정보, 또는 경고. 작업 필드는 표준 로그 파일(예: /var/log/syslog) 또는 로그 정보를 보낼 원격 컴퓨터의 호스트 이름과 같은 로그 정보의 대상으로 구성됩니다.

로거를 사용하여 syslogd에 메시지 에코하기

로거 도구에는 메시지를 시스템 로그(예: /var/log/syslog)에 임의로 배치할 수 있는 깔끔한 유틸리티가 있습니다. 예를 들어 사용자 이름이 buddha 라고 가정하고 특히 맛있는 피자에 대한 메시지를 syslog에 입력하려면 터미널 프롬프트에서 다음과 같은 명령을 사용할 수 있습니다.

logger Vinnys Gourmet Rocks의 이 피자

그러면 /var/log/syslog 파일에 다음과 같은 줄이 생깁니다.

메시지가 오는 태그를 지정하고 출력 표준 오류도 리디렉션할 수 있습니다.

이 스크립트를 chkdir.sh로 실행하면 Fred의 홈 디렉토리인 /home/fred가 없는 버터 시스템에서 다음과 같은 결과를 얻을 수 있습니다.

보시다시피 터미널 프롬프트에서 표준 오류를 통해 메시지를 받았고 syslog에도 나타납니다.

로그 회전

/var/log 또는 그 하위 디렉토리에서 디렉토리 목록을 볼 때 daemon.log.0 , daemon.log.1.gz 등과 같은 이름을 가진 로그 파일을 볼 수 있습니다. 이 로그 파일은 무엇입니까? "회전된" 로그 파일입니다. 즉, 미리 정의된 시간 프레임 후에 자동으로 이름이 바뀌었고 새로운 원본 로그가 시작되었습니다. 훨씬 더 많은 시간이 지나면 daemon.log.1.gz 예제의 경우와 같이 gzip 유틸리티로 로그 파일이 압축됩니다. 로그 회전의 목적은 오래된 로그를 보관하고 압축하여 디스크 공간을 덜 사용하면서도 필요에 따라 계속 검사할 수 있도록 하는 것입니다. 이 기능을 처리하는 것은 무엇입니까? 물론 logrotate 명령입니다! 일반적으로 logrotate는 시스템 전체 cron 스크립트 /etc/cron.daily/logrotate에서 호출되며 구성 파일 /etc/logrotate.conf에서 추가로 정의됩니다. 개별 구성 파일은 /etc/logrotate.d(예: apache2 및 mysql 구성이 저장되는 위치)에 추가할 수 있습니다.

이 가이드는 Ubuntu 시스템에서 로그 파일의 자동 회전을 처리하도록 logrotate를 구성할 수 있는 수많은 방법을 다루지 않습니다. 자세한 내용은 자원이 안내서의 섹션.

메모: logrotate를 사용하는 대신 cron.daily 스크립트 /etc/cron.daily/sysklogd를 통해 시스템 로그 파일을 순환할 수도 있습니다. 실제로 유틸리티 savelog는 logrotate 구성이 영향을 미치지 않는 것처럼 보이는 로그 회전에 대해 예기치 않은 결과를 생성할 수 있습니다. 이러한 경우에는 /etc/cron.daily/sysklogd에서 cron.daily sysklogd 스크립트를 확인하고 savelog 매뉴얼 페이지를 읽어서 savelog가 실제로 지정하지 않은 방식으로 회전을 수행하고 있지 않은지 확인해야 합니다. logrotate.

필수 명령

콘솔과 Linux 명령줄을 처음 사용하는 경우 이러한 명령을 통해 기본 수준에서 로그 파일을 사용할 수 있는 지점까지 시작할 수 있습니다.

시작하기

대부분의 이러한 파일이 있는 로그 디렉토리로 변경하려면 cd 명령을 사용하십시오. 이렇게 하면 모든 후속 명령에 대해 전체 경로 이름을 입력할 필요가 없습니다.

파일 편집

각각 Ubuntu 및 Kubuntu와 함께 제공되는 간단한 텍스트 편집기인 GEdit 또는 Kate에서 파일을 보고 편집할 수 있지만 파일을 보거나 간단한 변경만 수행하려는 경우 과도할 수 있습니다. 콘솔에서 사용하기 가장 쉬운 편집기는 nano로, vim이나 emacs보다 덜 강력하지만 덜 복잡합니다. nano를 사용하여 특정 로그 파일 /var/log/example.log를 편집하는 명령은 다음과 같습니다.

나노 example.log

Ctrl+X를 눌러 종료합니다. 종료할 때 변경 사항을 저장할지 묻는 메시지가 표시되지만 sudo 명령으로 실행하지 않으면 파일을 쓸 수 없습니다. 일반적으로 변경 사항을 로그 파일에 저장하고 싶지 않을 것입니다.

파일 보기

단순히 파일을 보기에는 편집기가 과합니다. 한 번에 한 화면씩 파일을 살펴보는 less 명령을 사용하십시오.

파일을 보기 위해 sudo가 필요하지 않습니다. 도움말을 보려면 h를 누르고 종료하려면 q를 누르십시오. 커서 키와 페이지 위로/아래로 키가 예상대로 작동하고 슬래시 키("/")가 케이스를 수행합니다. 민감한 검색; n 키는 마지막 검색을 반복합니다.

파일 시작 부분 보기

파일의 처음 10줄을 보려면 head 명령을 사용하십시오.

헤드 example.log

파일 시작 부분에서 다른 줄 수를 보려면 다음과 같이 -n 스위치를 추가하십시오.

헤드 -n 20 example.log

파일 끝 보기

파일의 마지막 10줄을 보려면 유사한 명령이 tail입니다.

다시 말하지만 -n 스위치를 사용하면 표시되는 줄 수를 제어할 수 있습니다.

꼬리 -n 20 example.log

변화하는 파일 보기

또한 -f("follow") 스위치는 tail을 루프에 넣고 표시하는 파일에 대한 새로운 추가를 지속적으로 기다립니다. 이것은 실시간으로 업데이트되는 파일을 모니터링하는 데 유용합니다.

Ctrl+C를 눌러 루프를 종료합니다.

파일 검색

로그 파일은 크고 다루기 힘들 수 있으므로 집중할 수 있도록 도와줍니다. grep 명령을 사용하면 관심 있는 콘텐츠만 제거할 수 있습니다. 예를 들어 "system"이라는 단어가 포함된 파일의 모든 행을 찾으려면 다음을 사용하십시오.

줄 시작 부분에 "system"이 포함된 모든 줄을 찾으려면 다음을 사용합니다.

줄의 시작 부분에만 일치하는 정규식인 캐럿 기호에 유의하십시오. 이것은 항상 날짜와 시간으로 시작하는 표준 로그 파일에는 덜 유용하지만 다른 경우에는 편리할 수 있습니다. 모든 파일에 표준 형식이 있는 것은 아닙니다.

grep의 결과가 여전히 너무 길면 언제든지 less를 통해 파이프할 수 있습니다.

자원

시스템 및 애플리케이션 로그와 syslogd에 대한 추가 정보는 다음 리소스를 통해 제공됩니다.

로컬 시스템 리소스

Linux에서 로그 파일(로그 파일)을 볼 때 로그의 새 항목을 실시간으로 모니터링해야 하는 경우가 있습니다. 즉, 실시간으로 이 파일의 새 항목을 보고 모니터링할 로그 파일을 지정합니다.

tail 명령으로 로그 파일 모니터링

명령을 실행하면 꼬리 파일 이름추가 인수가 없으면 파일의 마지막 10줄이 인쇄되고 명령이 종료됩니다.

tail 명령이 파일의 최신 항목을 계속 표시하려면, 즉 파일에 새 항목이 나타난 경우 화면의 정보가 업데이트된 경우 -f 옵션을 사용하십시오.
꼬리 -f LogFileName

tail -f 명령을 실행하여 /var/log/syslog 로그 파일을 표시합니다.

꼬리 -f /var/log/syslog

옵션을 사용하기 때문에 -f , tail 명령은 종료되지 않지만 로그 파일에 새 항목이 나타날 때까지 기다립니다. 새 항목이 로그 파일에 추가되는 즉시 터미널에 즉시 표시됩니다.

명령을 중단하려면 Ctrl+C를 누릅니다.

tailf 명령

Tail -f 명령은 tailf 명령과 유사합니다.

용법:

테일프 /var/log/mylogfile.log

tailf와 tail -f의 중요한 차이점은 tailf는 파일이 수정되지 않을 때 파일에 액세스하지 않는다는 것입니다. 결과적으로 파일 액세스 시간이 업데이트되지 않고 파일이 업데이트되지 않을 때 시스템에서 파일을 디스크에 영구적으로 플러시하지 않습니다.

tailf 명령에 대한 설명은 랩톱에서 로그 파일을 모니터링하는 데 유용함을 나타냅니다. 불필요하게 디스크에 대한 액세스가 없기 때문에 배터리 수명이 보존됩니다.

꼬리 F. 파일 이름이 변경되었거나 삭제된 경우

일반적으로 Linux에서는 로그 파일이 무기한으로 작성되지 않습니다. 그렇지 않으면 이러한 파일이 향후 사용하기에 매우 불편할 것입니다. 대신 소위 파일 회전이 사용됩니다. 로그 파일이 커지면 삭제되거나 이름이 바뀌고(파일의 백업 복사본이 생성됨) 추가 메시지가 비어 있는 새 파일에 기록됩니다.

tail 명령에는 -f 및 -F의 두 가지 옵션이 있습니다.

• 사용하는 경우 -f 옵션추적된 파일의 이름이 바뀌면 tail 명령은 이미 이름이 바뀐 파일을 계속 추적합니다. 팀 꼬리이 경우 파일의 식별자(inode)에 바인딩됩니다.
• 사용하는 경우 옵션 -F추적된 파일의 이름이 바뀌면 tail 명령이 이를 결정하고 새 로그 파일이 생성되자마자(tail 명령에 지정한 이름 사용) 꼬리), 팀 꼬리이 새 파일을 추적하기 시작합니다.

예를 들어 보겠습니다.

로그 파일 /var/log/apache2/error.log 를 모니터링합니다. -F 옵션과 함께 tail 명령 실행

테일 -F /var/log/apache2/error.log

시스템이 error.log 파일을 error.log.1 파일로 이동(이름 변경)하고 새 error.log 파일을 생성하면 tail 명령은 이미 새로운 error.log 파일을 계속 모니터링합니다.

이 예에서 옵션을 사용한다면 -f ,그런 다음 tail 명령은 실시간으로 로그를 볼 때 더 이상 관련이 없는 error.log.1 파일을 계속 모니터링합니다.

동시에 여러 로그 파일 추적

tail 명령은 동시에 여러 파일 추적을 지원합니다. 이렇게 하려면 파일 이름을 공백으로 구분하여 지정해야 합니다.

테일 -f /var/log/apache2/error.log /var/log/apache2/access.log

파일이 변경되는 즉시 이 파일의 이름과 새 항목이 화면에 표시됩니다.

동시에 여러 로그 파일을 추적하기 위해 매우 편리한 multitail 유틸리티가 있습니다.

단순히 데이터를 표시하는 것이 아니라 파일별로 자체 창(영역)을 만들어 이 창에 데이터를 표시합니다. 도움을 받으면 한 번에 많은 로그 파일을 추적하고 하나의 터미널 창에서 볼 수 있어 매우 편리합니다.

multitail 유틸리티는 배포판의 일반 리포지토리에서 설치할 수 있습니다. 설치하려면 다음 명령을 실행합니다(배포에 적합한 명령 선택).

sudo apt 설치 multitail sudo yum 설치 multitail sudo dnf 설치 multitail

용법:

Multitail /var/log/apache2/access.log /var/log/apache2/error.log

q 키를 눌러 유틸리티를 종료합니다.