Premiers pas avec la journalisation système sous Linux
Les journaux système sous Linux vous fournissent un excellent aperçu des activités principales sur votre PC ou votre infrastructure de serveur. Ils sont essentiels pour assurer la stabilité et la sécurité de votre système. Les journaux système vous offrent également la possibilité d’auditer diverses activités qui ont eu lieu dans le passé.
Ce guide vous présente le système de journalisation sous Linux. Toutes les principales activités réalisées par les applications et services du système central sont enregistrées sous forme de journaux et au cœur de tout cela se trouve un système connu sous le nom de Journal système .
Pourquoi les journaux système sont-ils importants ?
Imaginez que votre PC Linux ait récemment rencontré des erreurs de démarrage ou que vous soupçonniez que quelqu’un a essayé de se connecter à votre système. Ces événements peuvent être facilement tracés car votre système garde une trace de ces activités sous forme de journaux.
Sous Linux, les journaux système sont des enregistrements lisibles par l’homme des activités système de base effectuées par les services, les démons et les applications système. Certaines des activités importantes enregistrées sur une machine Linux incluent les connexions utilisateur et les échecs de connexion, le démarrage du système d’exploitation, les défaillances du système, etc.
Linux dispose d’un service dédié appelé Syslog qui est spécifiquement responsable de la création de journaux via le System Logger. Syslog comprend plusieurs composants tels que le format de message Syslog, le protocole Syslog et le démon Syslog : populairement connu sous le nom de syslogd ou rsyslogd dans les nouvelles versions de Linux.
le /var/journal répertoire stocke la plupart des journaux sur un système Linux. le /var Le répertoire contient principalement des fichiers et des répertoires variables, c’est-à-dire des données susceptibles de changer souvent. Il n’y a pas de format standard pour les journaux, mais au minimum, les journaux doivent contenir un horodatage et les détails de l’activité enregistrée.
Liste des fichiers gérés par syslog
Tous les journaux généraux de votre système sont stockés dans le /var/log/syslog fichier sur les distributions Linux basées sur Debian. D’autres distributions utilisent le /var/log/messages fichier pour stocker les journaux.
Noter : différentes distributions Linux peuvent utiliser différents fichiers pour enregistrer des messages spécifiques. Par exemple, sur les distributions Linux basées sur Debian, le /var/log/auth.log Le fichier contient les journaux d’authentification, tandis que les systèmes RedHat utilisent le /var/log/sécurisé fichier pour stocker ces journaux.
Pour en savoir plus sur tous les fichiers qui sont responsables du stockage des journaux, vous pouvez consulter le /etc/rsyslog.d répertoire, qui contient d’importants fichiers de configuration Syslog. Par exemple, pour répertorier les fichiers journaux standard, vous pouvez consulter le /etc/rsyslog.d/50-default.conf déposer.
Le fichier vous montre les noms des applications système et les fichiers journaux correspondants qui leur sont associés.
Comment inspecter les fichiers journaux
La plupart des fichiers journaux sont assez longs. En tant que tel, l’une des commandes les plus importantes pour inspecter les fichiers journaux sous Linux est la moins commande, qui affiche le contenu du fichier dans des sections facilement navigables.
Par exemple, pour afficher le contenu du /var/log/syslog fichier, utilisez la commande less comme suit.
Utilisez le F touche du clavier pour faire défiler vers l’avant et la B touche pour faire défiler vers l’arrière.
Le fichier syslog contient les journaux de certaines des activités les plus critiques telles que les erreurs système et les activités de service sur votre système.
Si vous souhaitez uniquement inspecter les journaux les plus récents, vous pouvez utiliser le queue commande, qui répertorie uniquement les 10 derniers messages de journal par défaut.
Vous pouvez également spécifier le nombre de messages de journal que vous souhaitez afficher avec l’utilitaire tail. La commande prend le format suivant tail -n fichier à inspecter, où n est le nombre de lignes que vous souhaitez afficher. Par exemple, pour afficher les 7 derniers messages du journal dans le fichier syslog, vous pouvez utiliser la commande suivante.
Pour afficher les journaux les plus récents en temps réel, vous pouvez utiliser la commande tail avec le -F comme suit.
Une autre commande importante pour inspecter les messages du journal est la diriger commander. Contrairement à la commande tail qui affiche les derniers messages de log dans un fichier, la commande head vous montre les premières lignes d’un fichier. Par défaut, la commande n’affichera que les 10 premières lignes.
Journaux d’authentification
Si vous souhaitez trouver des informations sur les connexions des utilisateurs sur votre système, vous pouvez consulter le /var/log/auth.log déposer. Les informations relatives aux connexions des utilisateurs, aux échecs de connexion et à la méthode d’authentification utilisée peuvent être trouvées ici.
Journaux du noyau
Lorsque votre système Linux démarre, des données importantes sur le tampon en anneau du noyau sont enregistrées dans le /var/log/dmesg déposer. D’autres informations sur les pilotes matériels, le noyau et l’état de démarrage sont toutes enregistrées dans ce fichier.
Au lieu d’inspecter les messages du journal de démarrage avec la commande less ou cat, vous pouvez utiliser dmesg pour afficher ces fichiers journaux.
Noter : consigner les messages dans le /var/log/dmesg fichier sont réinitialisés à chaque démarrage du système.
Un autre fichier journal important lié aux problèmes du noyau est le /var/log/kern.log .
Journalisation des messages avec la commande logger
Outre la simple visualisation des messages de journal consignés par les applications ou services système, le système de journalisation de Linux vous permet également de consigner manuellement les messages à l’aide du enregistreur commander. Un utilisateur peut consigner des messages dans le /var/log/syslog fichier par défaut. Par exemple, pour enregistrer un message simple, vous pouvez exécuter la commande suivante.
Vous pouvez maintenant utiliser la commande tail pour afficher le message récemment enregistré.
Vous pouvez même enregistrer la sortie d’autres commandes avec la commande logger en joignant la commande dans le tic-tac arrière ( ` ) personnage.
Vous pouvez également utiliser la commande logger dans vos scripts pour enregistrer des événements importants. Utilisez les pages man pour en savoir plus sur la commande logger et ses options.
Gestion des fichiers journaux
Comme vous l’avez peut-être remarqué, de nombreuses données sont enregistrées sur une machine Linux. Par conséquent, vous devez disposer d’un système approprié pour gérer l’espace disque utilisé par les fichiers journaux. En plus de cela, le fait d’avoir un système de journalisation vous permet de trouver facilement les messages de journal que vous recherchez. La solution de Linux à ce problème est la logrotate utilitaire.
Utilisez l’utilitaire logrotate pour configurer le fichier journal à conserver, la durée de conservation, gérer l’envoi des journaux et comment compresser les anciens fichiers journaux, etc.
Vous pouvez configurer l’utilitaire logrotate avec n’importe quel éditeur de texte de votre choix. Le fichier de configuration pour logrotate peut être trouvé à /etc/logrotate.conf .
Garder votre système robuste avec les journaux
Les journaux système sous Linux sont un excellent moyen d’avoir un aperçu des principales activités qui se déroulent sur votre système et qui peuvent comprendre la sécurité et la stabilité globale du système. Savoir comment afficher et analyser les messages du journal sur un serveur ou un PC vous aidera grandement à maintenir la robustesse de votre système.
Parfois, les utilisateurs ont du mal à utiliser certaines applications sur leur système en raison de la faible disponibilité des ressources système. Dans de telles situations, la suppression des programmes qui ne répondent pas peut libérer de l’espace sur la mémoire principale de votre système.