Una dintre cele mai bune practici pe care o putem efectua ca personal de asistență IT este de a crea sarcini periodice în care este permis să revizuiască toate evenimentele care apar în sistemul de operare.
Acest lucru este funcțional, deoarece un eveniment ne oferă indicatori precum:
- Utilizator care a făcut modificarea
- Data și ora evenimentului
- Tipul și ID-ul evenimentului și multe altele.
Cu aceste informații, sarcinile de asistență devin un punct mult mai centralizat și mai ușor de gestionat, deoarece avem controlul asupra a tot ceea ce se întâmplă în interiorul acestuia și care îi poate afecta performanța și securitatea optimă. Putem vedea că avem la dispoziție diverse instrumente și aplicații pentru a realiza acest proces, dar astăzi Solvetic va analiza în detaliu unele dintre cele mai practice opțiuni pentru a analiza și cunoaște conținutul unui eveniment în timp real.
1. Monitorizați evenimentele în timp real pe Linux cu comanda Tail
Această comandă ne permite să afișăm pe ecran ultimele linii ale unui fișier. În mod implicit, sunt afișate ultimele 10 linii, dar acest număr poate varia în funcție de specificațiile utilizatorului specificate.
Sintaxa sa este următoarea:
fișierul cu opțiuni de coadăAcolo va fi posibil să specificați unul sau mai multe fișiere simultan. Dacă sunt specificate mai multe fișiere, aceste fișiere vor fi afișate în aceeași ordine în care au fost specificate în comandă.
Utilizarea acestei comenzi are două alternative principale:
Opțiunea 1
Cu prima opțiune, comanda tail va avea nevoie de argumentul -f pentru a urmări conținutul unui fișier.
sudo tail -f (Fișier)În acest caz, vom executa următoarea linie:
sudo tail -f / etc / passwd
Opțiunea 2
A doua opțiune a comenzii este practic sintaxa sa originală: tailf, cu această opțiune nu va fi necesar să folosiți comutatorul -f deoarece comanda este încorporată cu argumentul -f.
sudo tailf / etc / passwd
Fișierele jurnal sunt de obicei rotite frecvent pe un server Linux folosind utilitarul logrotate. Pentru a vedea fișierele jurnal care sunt rotite zilnic, putem folosi comanda -F (flag to tail.):
sudo tail -F / etc / passwdParametrul tail -F va urmări dacă este creat un nou fișier jurnal și va începe urmărirea fișierului nou în locul fișierului vechi.
În mod implicit, comanda tail va afișa ultimele 10 linii ale unui fișier. Dacă vrem să vedem doar ultimele două linii ale fișierului jurnal în timp real, putem folosi fișierul -n combinat cu steagul -f după cum urmează:
sudo tail -n2 -f / etc / passwd
2. Monitorizați evenimentele în timp real pe Linux cu comanda Multitail
MultiTail este un utilitar open source ncurses care poate fi utilizat pentru a afișa mai multe fișiere jurnal la ieșirea standard într-o singură fereastră sau o singură coajă care afișează ultimele linii de fișiere jurnal în timp real, similar cu comanda tail, care împarte consola. în mai multe sub-ferestre.
Multitail acceptă, de asemenea, evidențierea culorilor, filtrarea, adăugarea și eliminarea ferestrelor și multe altele.
Printre caracteristicile sale avem
- Mai multe surse de intrare
- Afișare color cu expresie regulată în caz de informații importante
- Filtrarea liniei
- Meniuri interactive pentru a elimina și a adăuga cochilii.
Pentru a instala acest utilitar putem executa următoarele comenzi pe baza distro-ului folosit:
sudo apt install multitail (Debian / Ubuntu) sudo yum install multitail (RedHat / CentOS) sudo dnf install multitail (Fedora 22 și versiuni superioare)
Pentru a afișa simultan ieșirea a două fișiere jurnal, vom folosi următoarea sintaxă:
sudo multitail (Path1) (Path2) sudo multitail / etc / passwd / var / log / syslogRezultatul va fi următorul. Putem vedea detalii despre fiecare dintre argumentele pe care le-am indicat.
MARI
3. Monitorizați evenimentele în timp real pe Linux cu comanda lnav
Lnav (Navigator fișiere jurnal) este un vizualizator de fișiere jurnal avansat, la scară mică, prin care va fi posibil să vizualizați și să analizați fișierele jurnal de la un terminal.
Lnav nu necesită propriul server sau configurație complexă. Pentru instalarea sa putem folosi oricare dintre următoarele comenzi:
sudo apt install lnav (Debian / Ubuntu) sudo yum install lnav (RedHat / CentOS) sudo dnf install lnav (Fedora 22 și versiuni ulterioare)
MARI
Cu lnav va fi posibil să se analizeze conținutul a două fișiere jurnal simultan cu următoarea sintaxă:
sudo lnav (Calea 1) (Calea 2)În acest caz:
sudo lnav / etc / passwd / var / log / syslog
MARI
Acolo vom găsi toate informațiile detaliate ale fiecărei înregistrări.
4. Monitorizați evenimentele în timp real în Linux cu mai puține comenzi
Cu comanda mai mică va fi posibil să se afișeze ieșirea în timp real a fișierelor jurnal selectate. Pentru această vizualizare, putem accesa fișierul și putem apăsa tastele Shift + F pentru a vedea conținutul acestuia. Alternativ, va fi, de asemenea, posibil să utilizați mai puțin + F pentru a intra în vizualizarea live a fișierului:
sudo less + F / etc / passwd
MARI
Am văzut diferitele alternative pentru a accesa și monitoriza evenimentele în timp real în mediile Linux într-un mod simplu și funcțional.