Cómo ver archivos de registro estándar en servidores Ubuntu Linux

Los registros son extremadamente útiles para solucionar problemas del sistema, la aplicación o la red. La información capturada en los archivos de registro también se puede analizar para descubrir patrones que pueden ayudarlo a tomar decisiones informadas como sistema. admin.

Esta guía explica brevemente cómo puede ver archivos de registro estándar en servidores Ubuntu Linux.

Comandos importantes para trabajar con archivos de registro

En los servidores Ubuntu Linux, los registros normalmente se almacenan en formato de texto sin formato. Por lo tanto, es importante que conozca los siguientes comandos básicos de Linux para moverse por el sistema de archivos y trabajar con archivos de texto a través de la terminal de Ubuntu.

discos compactos – cambio de directorio

ls – mostrar el contenido de un directorio

c.p. – copiar archivos o carpetas

m.v. – renombrar/mover archivos o carpetas

nano – editor de texto basado en consola

menos – ver el contenido de un archivo de texto una página a la vez

cabeza – mostrar las primeras 10 líneas de un archivo de texto

cola – ver las últimas 10 líneas de un archivo de texto

grep – buscar palabras clave específicas en un archivo de texto o datos de salida

Ubicación de los archivos de registro en servidores Ubuntu

Básicamente, los archivos de registro se almacenan bajo el /var/registro directorio en servidores Ubuntu. Ejecute el siguiente comando para cambiar el directorio a /var/log.

                      $ 
                      
                        cd /var/log
                      
                    

Ahora, puede enumerar el contenido de /var/log de la siguiente manera.

                      
                        $ ls
                      
                    

Como se ve en la figura 1 a continuación, el directorio /var/log contiene varios archivos de registro que se pueden clasificar en términos generales en registros del sistema y registros de la aplicación.

Figura 1: Lista de archivos de registro en el servidor Ubuntu

Registros del sistema

Los registros del sistema contienen información sobre el funcionamiento del sistema Ubuntu; incluidos los registros de autorización, los registros del núcleo, el búfer de anillo del núcleo y los eventos generales del sistema.

Registros de autorización

Los registros de autorización se almacenan en /var/log/auth.log . Aquí es donde encontrará información sobre los intentos de autorización de usuarios; incluyendo el uso de la sudo mando.

Puede ejecutar el siguiente comando para inspeccionar el contenido del archivo auth.log.

                      $ 
                      
                        sudo less /var/log/auth.log
                      
                    

Nota: Pulsa la barra espaciadora de tu teclado para desplazarte de una página a otra. prensa q salir.

También puede usar el comando grep para filtrar la información en los registros. Aquí hay un example.

                      $ 
                      
                        sudo less /var/log/auth.log | grep olu
                      
                    

La información en el salida de muestra a continuación indica que hubo un inicio de sesión remoto exitoso en mi servidor Ubuntu a través de ssh por parte del usuario olu.

1 de febrero 15:44:24 Ubuntu sshd[1594]: Clave pública aceptada para olu desde el puerto 105.0.0.100 35233 ssh2: RSA SHA256:B3zi4x3gdF89wm0GZw+fsAkhckLEsx8fJ0GJiU80CXH

1 de febrero 15:44:24 Ubuntu sshd[1594]: pam_unix(sshd:session): sesión abierta para el usuario olu por (uid=0)

1 de febrero 15:44:24 Ubuntu systemd-inicio de sesión[747]: Nueva sesión 2 del usuario olu.

1 de febrero 15:44:24 Ubuntu systemd: pam_unix(systemd-user:session): sesión abierta para el usuario olu por (uid=0)

Registros del núcleo

Los registros del kernel se mantienen en /var/log/kern.log . Esta información es útil para solucionar errores del kernel. El kernel controla todo en el sistema operativo; incluyendo gestión de procesos, gestión de memoria y gestión de dispositivos.

Utilice el siguiente comando para mostrar el contenido del archivo kern.log una página a la vez.

                      $ 
                      
                        sudo less /var/log/kern.log
                      
                    

O intente esto para mostrar las primeras 10 líneas del archivo kern.log.

                      $ 
                      
                        sudo head /var/log/kern.log
                      
                    

Encuentre información específica en kern.log.

                      $ 
                      
                        grep memory /var/log/kern.log
                      
                    

Búfer de anillo del núcleo

El búfer de anillo del núcleo contiene información de hardware del núcleo. La información está registrada /var/log/dmesg y se puede visualizar mediante el dmesg mando. Esta información incluye todos los dispositivos detectados en el momento del arranque del sistema.

Puede usar esto para solucionar problemas con los componentes de hardware del servidor. Ejecute el siguiente comando para ver todo el contenido del búfer de anillo del núcleo.

                      
                        $ dmesg
                      
                    

Pruebe el siguiente comando para mostrar las últimas 10 líneas del búfer de anillo del núcleo.

                      $ 
                      
                        dmesg | tail
                      
                    

O filtre por palabras clave específicas usando grep.

                      
                        $ dmesg | grep cpu
                      
                    

Registros generales del sistema

Aquí vamos a hablar de registro del sistema y diarioctl

registro del sistema

Syslog es un mecanismo de registro que almacena eventos generales del sistema en /var/log/syslog . La información almacenada aquí puede incluir eventos que quizás no encuentre en otros archivos de registro.

Ejecute el siguiente comando para mostrar el contenido del archivo syslog página por página.

                      $ 
                      
                        sudo less /var/log/syslog
                      
                    

También puede buscar palabras clave específicas usando el grep comando de la siguiente manera.

                      $ 
                      
                        sudo grep failed /var/log/syslog
                      
                    

Diarioctl

El comando journalctl simplifica el proceso de examinar los registros del servidor. En lugar de buscar a través de archivos de registro individuales, puede usar journalctl para encontrar y filtrar rápidamente la información que necesita.

El siguiente comando muestra todas las entradas de registro desde la más antigua hasta la más reciente.

                      
                        $ journalctl
                      
                    

El siguiente comando muestra mensajes de advertencia.

                      
                        $ journalctl -p warning
                      
                    

Puede mostrar solo los mensajes del kernel de la siguiente manera.

                      
                        $ journalctl --dmesg
                      
                    

Puede buscar palabras clave específicas combinando las grep comando y ver los resultados página por página usando menos .

                      
                        $ journalctl | grep ssh | less
                      
                    

Ver información de registro desde una fecha específica.

                      
                        $ journalctl --since=2021-02-01
                      
                    

O ver información de registro desde un momento específico.

                      
                        $ journalctl --since=12:00
                      
                    

También podría escribir diarioctl y luego presione la tecla tabulador en su teclado para ver las opciones disponibles.

Registros de aplicaciones

Varias aplicaciones almacenan información de registro bajo /var/registro . Para exampleen la figura 1 anterior, el Clamav El directorio contiene archivos de registro relacionados con la aplicación antimalware ClamAV.

Estos son algunos ejemplos de aplicaciones o servicios populares y dónde se almacena su información de registro.

                      Apache web server logs - 
                      
                        /var/log/apache2
                      
                    
                      NGINX web server logs - 
                      
                        /var/log/nginx
                      
                    
                      Printing system (CUPS) logs - 
                      
                        /var/log/cups
                      
                    

Otros registros útiles

Algunos archivos de registro como último registro , wtmp no puede ser leído directamente por humanos. La siguiente es una breve explicación de qué tipo de información contienen estos archivos y cómo puede verlos.

último registro

La información contenida en /var/log/último registro se refiere a los usuarios y su inicio de sesión más reciente en el servidor Ubuntu. Tendrías que usar el último registro Comando para acceder a él de la siguiente manera.

                      $ 
                      
                        lastlog
                      
                    

wtmp

los var/log/wtmp El archivo contiene registros completos de inicio de sesión.

ejecutar el último Comando para mostrar una lista de los últimos usuarios que iniciaron sesión. También puede ver información sobre el arranque/reinicio del sistema.

                      $ 
                      
                        last
                      
                    

ejecutar el quién Comando para ver quién está conectado actualmente.

                      $ 
                      
                        who
                      
                    

los w El comando le muestra quién está conectado actualmente y qué está haciendo en el servidor Ubuntu.

                      $ 
                      
                        w
                      
                    

Conclusión

En esta guía, hemos cubierto brevemente cómo ver archivos de registro estándar en servidores Ubuntu. Esta no es una lista exhaustiva, pero esperamos que le dé una idea de dónde buscar.

Related Posts