Khi mọi thứ xảy ra với Linux, nó có thể là một cơn ác mộng để khắc phục sự cố. Những thách thức cố hữu liên quan đến vấn đề này tăng lên gấp bội khi vấn đề bạn đang gặp phải không liên tục và bạn không biết điều gì gây ra nó.
Tôi cho rằng bạn có thể dành hàng giờ đồng hồ để đọc Stack Overflow và yêu cầu Reddit trợ giúp. Hoặc bạn có thể tự mình xử lý mọi thứ và đi sâu vào các tệp nhật ký của hệ thống, với mục đích tìm ra vấn đề là gì.
Tệp nhật ký là gì?
Nhiều chương trình - có thể là dành cho Windows, Mac hoặc Linux - tạo tệp nhật ký khi chúng chạy. Ngay cả Android cũng tạo ra chúng. Đây là các tệp văn bản thuần túy chứa thông tin về cách một chương trình đang chạy. Mỗi sự kiện sẽ nằm trên một dòng riêng của nó, được đánh dấu thời gian đến giây.
Mặc dù điều này không đúng với tất cả các ứng dụng, nhưng các tệp nhật ký thường có xu hướng được tìm thấy trong thư mục / var / log.
Thật đáng ngạc nhiên, dữ liệu trong các tệp này sẽ rất thô tục. Nó không nhất thiết phải là dấu hiệu của một vấn đề. Nó sẽ chỉ là những cập nhật về những gì chương trình đang làm tại một thời điểm nhất định.
Nhưng khi có sự cố, bạn có thể đảm bảo rằng thông tin về nó sẽ được chứa trong các tệp nhật ký. Thông tin này có thể được sử dụng để khắc phục hoặc đặt câu hỏi mô tả về một người có thể biết.
Vì vậy, khi xử lý các tệp nhật ký, làm cách nào để tách thông tin bạn quan tâm khỏi những thứ bạn không quan tâm?
Sử dụng Tiện ích Linux Chuẩn
Giống như chúng tôi đã đề cập trước đây, các tệp nhật ký không dành riêng cho bất kỳ nền tảng nào. Mặc dù vậy, trọng tâm của bài viết này sẽ là Linux và OS X, vì hai hệ điều hành này có các công cụ dòng lệnh UNIX cần thiết để phân tích cú pháp thông qua chúng.
Vì tệp nhật ký là tệp văn bản thuần túy, bạn có thể sử dụng bất kỳ công cụ nào bạn muốn sử dụng để xem các tệp như vậy. Trong số này, grep có lẽ là khó học nhất, nhưng cũng hữu ích nhất. Nó cho phép bạn tìm kiếm các cụm từ và thuật ngữ cụ thể trong một tệp cụ thể. Cú pháp cho điều này là grep [term] [tên tệp] .
Ở mức nâng cao nhất, bạn có thể sử dụng cụm từ thông dụng (RegEx) để tìm kiếm các cụm từ và mục có tiêu điểm bằng tia laze. Mặc dù RegEx thường trông giống như một thuật sĩ, nhưng nó thực sự khá đơn giản để sử dụng.
Sau đó là các lệnh 'head' và 'tail'. Không có điểm để đoán những gì chúng làm. Chúng hiển thị cho bạn mười dòng trên cùng và dưới cùng của tệp, tương ứng. Vì vậy, nếu bạn muốn xem các mục mới nhất trên tệp nhật ký, bạn phải chạy "tên tệp đuôi".
Bạn có thể thay đổi số dòng được hiển thị bằng cách sử dụng trình kích hoạt '-n'. Vì vậy, nếu bạn muốn xem 20 dòng đầu tiên của tệp, bạn sẽ chạy
head -n 20 [tên tệp]
Nếu bạn muốn xem toàn bộ nội dung của tệp, bạn có thể sử dụng tiện ích 'cat'. Tuy nhiên, điều này có thể hơi khó sử dụng vì các tệp nhật ký thường có thể đo bằng hàng trăm nghìn dòng . Một ý tưởng tốt hơn là chuyển nó sang một tiện ích ít hơn, điều này sẽ cho phép bạn xem từng trang một. Để làm điều đó, hãy chạy
con mèo [tên tệp] | ít hơn
Ngoài ra, bạn có thể sử dụng sed và awk. Hai tiện ích này cho phép bạn viết các tập lệnh đơn giản để xử lý các tệp văn bản. Chúng tôi đã viết về chúng vào năm ngoái.
Cuối cùng, nếu bạn tự tin với nó, bạn cũng có thể muốn thử trình soạn thảo văn bản vim. Điều này có một loạt các lệnh tích hợp khiến việc phân tích cú pháp thông qua các tệp nhật ký trở nên đơn giản. Phiên bản vim 32-bit cũng có kích thước tệp tối đa là 2 GB, mặc dù tôi không khuyên bạn nên sử dụng nó trên các tệp lớn vì lý do hiệu suất.
Sử dụng Phần mềm Quản lý Nhật ký
Nếu điều đó nghe có vẻ quá vất vả hoặc bạn thích sử dụng thứ gì đó trực quan hơn, bạn có thể muốn xem xét sử dụng ứng dụng quản lý nhật ký (thường bị nhầm lẫn với SIEM hoặc Quản lý sự kiện và thông tin bảo mật).
Điều tuyệt vời về những điều này là họ đã làm rất nhiều công việc khó khăn cho bạn. Nhiều người trong số họ có thể xem nhật ký và xác định vấn đề một cách tự động. Họ cũng có thể trực quan hóa nhật ký trong tất cả các loại đồ thị và biểu đồ đẹp mắt, cho phép bạn hiểu rõ hơn về mức độ đáng tin cậy của ứng dụng.
Một trong những chương trình quản lý nhật ký nổi tiếng nhất được gọi là Splunk. Công cụ quản lý nhật ký này cho phép bạn duyệt qua các tệp bằng giao diện web. Nó thậm chí còn có ngôn ngữ xử lý tìm kiếm linh hoạt và mạnh mẽ của riêng mình, cho phép bạn xem chi tiết các kết quả theo cách lập trình.
Splunk được sử dụng bởi vô số doanh nghiệp lớn. Nó có sẵn cho Mac, Windows và Linux. Nhưng nó cũng có một phiên bản miễn phí, có thể được sử dụng bởi người dùng gia đình và doanh nghiệp nhỏ để quản lý nhật ký của họ.
Phiên bản này - được gọi là Splunk Light - có nhiều điểm chung với các phiên bản dành cho doanh nghiệp. Nó có thể duyệt nhật ký, theo dõi tệp để tìm sự cố và đưa ra cảnh báo khi có vấn đề.
Phải nói rằng, Splunk Light có một số hạn chế, điều này khá hợp lý. Thứ nhất, lượng dữ liệu mà nó có thể tiêu thụ được giới hạn ở 500 MB một ngày. Nếu vẫn chưa đủ, bạn có thể nâng cấp lên phiên bản trả phí của Splunk Light, phiên bản này có thể tiêu thụ 20 GB nhật ký mỗi ngày. Tuy nhiên, trên thực tế, hầu hết người dùng sẽ không đến bất cứ đâu gần đó.
Nó cũng chỉ hỗ trợ năm người dùng, đây không phải là vấn đề đối với hầu hết mọi người, đặc biệt nếu nó chỉ được chạy trên các máy chủ tệp và web hộ gia đình.
Splunk cung cấp phiên bản đám mây, lý tưởng cho những người không muốn cài đặt toàn bộ ứng dụng khách trên máy của họ hoặc những người có một số máy chủ từ xa. Nhược điểm của điều này là chi phí lớn liên quan. Gói Splunk rẻ nhất có giá $ 125,00 mỗi tháng. #
Đó là rất nhiều tiền mặt.
Bạn xử lý các tệp nhật ký của mình như thế nào?
Vì vậy, chúng tôi đã xem xét các cách bạn có thể thẩm vấn các tệp nhật ký của mình và tìm thông tin bạn cần để khắc phục sự cố, trực tiếp hoặc nhờ hỗ trợ từ xa. Nhưng bạn có biết phương pháp nào tốt hơn không? Bạn có sử dụng phần mềm quản lý nhật ký hay các tiện ích Linux tiêu chuẩn không?
Tôi muốn nghe về nó. Hãy cho tôi biết trong phần nhận xét bên dưới.