Активное отслеживание журналов.
В некоторых случаях желательно вести мониторинг файлов журналов по мере внесения записей в файлы журналов. В этих случаях очень полезна команда tail -f.
Используйте tail -f для активного отслеживания содержимого файла /var/log/syslog.
analyst@secOps ~$ sudo tail –f /home/analyst/lab.support.files/logstash-tutorial.log
Чем отличаются выходные данные tail и tail -f? Дайте пояснение.
Просмотр через –f в реальном времени. Изменение файла будет отображено сразу в терминале с tail -f
Для просмотра tail –f в действии откройте второе окно терминала. Организуйте дисплей таким образом, чтобы видеть оба окна терминала. Измените размеры окон, чтобы видеть оба одновременно, как показано на рисунке ниже.
В окне терминала вверху выполняется tail -f для отслеживания файла /home/analyst/lab.support.files/logstash-tutorial.log. Используйте окно терминала внизу для добавления сведений в отслеживаемый файл.
Для упрощения визуализации выберите верхнее окно терминала (в котором выполняется tail -f) и нажмите клавишу Enter (Ввод) несколько раз. В результате будет добавлено несколько строк между текущим содержимым файла и введена новая информация.
Выберите нижнее окно терминала и введите следующую команду:
[analyst@secOps ~]$ echo "this is a new entry to the monitored log file" >> lab.support.files/logstash-tutorial.log
Приведенная выше команда добавляет в файл /home/analyst/lab.support.files/logstash-tutorial.log сообщение "this is a new entry to the monitored log file" (это новая запись в отслеживаемый файл журнала). Поскольку tail –f отслеживает файл в данный момент, в файл добавляется строка. В верхнем окне новая строка должна отображаться в режиме реального времени.
Нажмите CTRL + C, чтобы остановить выполнение tail -f и вернуться в командную строку.
Закройте одно из двух окон терминала.
Файлы журналов и системный журнал
Из-за их важности файлы журналов обычно размещаются на одном отслеживающем компьютере. Syslog — это система, цель которой — позволить устройствам отправлять свои файлы журналов на центральный сервер, известный как сервер syslog. Клиенты обмениваются данными с сервером syslog с использованием протокола syslog. Syslog разворачивается часто, он совместим практически со всеми вычислительными платформами.
Виртуальная машина рабочей станции CyberOps создает файлы журналов на уровне операционной системы и передает их в syslog.
Используйте команду cat как root для отображения содержимого файла /var/log/syslog.1. Этот файл содержит записи журналов, создаваемые операционной системой виртуальной машины рабочей станции CyberOps и отправленные в службу syslog.
analyst@secOps ~ $ sudo cat /var/log/syslog.1
[sudo] пароль для analyst:
Feb 7 13:23:15 secOps kernel: [ 5.458959] psmouse serio1: hgpk: ID: 10 00 64
Feb 7 13:23:15 secOps kernel: [ 5.467285] input: ImExPS/2 BYD TouchPad as /devices/platform/i8042/serio1/input/input6
Feb 7 13:23:15 secOps kernel: [ 5.502469] RAPL PMU: API unit is 2^-32 Joules, 4 fixed counters, 10737418240 ms ovfl timer
Feb 7 13:23:15 secOps kernel: [ 5.502476] RAPL PMU: hw unit of domain pp0-core 2^-0 Joules
Feb 7 13:23:15 secOps kernel: [ 5.502478] RAPL PMU: hw unit of domain package 2^-0 Joules
Feb 7 13:23:15 secOps kernel: [ 5.502479] RAPL PMU: hw unit of domain dram 2^-0 Joules
Feb 7 13:23:15 secOps kernel: [ 5.502480] RAPL PMU: hw unit of domain pp1-gpu 2^-0 Joules
Feb 7 13:23:15 secOps kernel: [ 5.672547] ppdev: user-space parallel port driver
Feb 7 13:23:15 secOps kernel: [ 5.709000] pcnet32 0000:00:03.0 enp0s3: renamed from eth0
Feb 7 13:23:16 secOps kernel: [ 6.166738] pcnet32 0000:00:03.0 enp0s3: link up, 100Mbps, full-duplex
Feb 7 13:23:16 secOps kernel: [ 6.706058] random: crng init done
Feb 7 13:23:18 secOps kernel: [ 8.318984] floppy0: no floppy controllers found
Feb 7 13:23:18 secOps kernel: [ 8.319028] work still pending
Feb 7 14:26:35 secOps kernel: [ 3806.118242] hrtimer: interrupt took 4085149 ns
Feb 7 15:02:13 secOps kernel: [ 5943.582952] pcnet32 0000:00:03.0 enp0s3: link down
Feb 7 15:02:19 secOps kernel: [ 5949.556153] pcnet32 0000:00:03.0 enp0s3: link up, 100Mbps, full-duplex
Почему команда cat должна быть выполнена как root?
/var/log/syslog принадлежит root
Обратите внимание, что в файле /var/log/syslog хранятся только недавние записи журнала. Для того чтобы размер файла syslog оставался небольшим, операционная система периодически выполняет ротацию файлов журналов, переименовывая старые файлы журналов в syslog.1, syslog.2 и т. д.
Используйте команду cat для создания списка старых файлов syslog
analyst@secOps ~ $ sudo cat /var/log/syslog.2
analyst@secOps ~ $ sudo cat /var/log/syslog.3
analyst@secOps ~ $ sudo cat /var/log/syslog.4
Можете ли вы назвать причины, по которым так важно правильно синхронизировать время и дату компьютеров?
____________________________________________________________________________________
____________________________________________________________________________________