首页 > 其他分享 >logwatch日志分析工具安装与使用

logwatch日志分析工具安装与使用

时间:2023-09-27 15:25:54浏览次数:37  
标签:分析 运维 安装 logwatch 日志 root localhost

Linux 日志分析工具(logwatch)安装及使用

运维网工 2023-09-12 09:00 发表于重庆 收录于合集 #运维工程师185个 #Linux运维19个 #linux运维23个 #运维工具96个
链接:http://c.biancheng.net/view/1108.html

Linux 日志分析工具(logwatch)安装及使用

日志是非常重要的系统文件,管理员每天的重要工作就是分析和查看服务器的日志,判断服务器的健康状态。但是日志管理又是一项非常枯燥的工作,如果需要管理员手工查看服务器上所有的日志,那实在是一项非常痛苦的工作。有些管理员就会偷懒,省略日志的检测工作,但是这样做非常容易导致服务器出现问题。

那么我们有取代的方案吗?有,那就是日志分析工具。这些日志分析工具会详细地查看日志,同时分析这些日志,并且把分析的结果通过邮件的方式发送给 root 用户。这样,我们每天只要查看日志分析工具的邮件,就可以知道服务器的基本情况,而不用挨个检查日志了。这样系统管理员就可以从繁重的日常工作中解脱出来,去处理更加重要的工作。

在 CentOS 中自带了一个日志分析工具,就是 logwatch。不过这个工具默认没有安装(因为我们选择的是“Basic Server”),所以需要手工安装。安装命令如下:

[root@localhost Packages]# yum -y install logwatch

安装完成之后,需要手工生成 logwatch 的配置文件。默认配置文件是 /etc/logwatch/conf/logwatch.conf,不过这个配置文件是空的,需要把模板配置文件复制过来。命令如下:

[root@localhost ~]# cp /usr/share/logwatch/default.conf/logwatch.conf /etc/logwatch/conf/logwatch.conf#复制配置文件

这个配置文件的内容中绝大多数是注释,我们把注释去掉,那么这个配置文件的内容如下所示:

[root@localhost ~]# vi /etc/logwatch/conf/logwatch.conf#查看配置文件LogDir = /var/log#logwatch会分析和统计/var/log/中的日志TmpDir = /var/cache/logwatch#指定logwatch的临时目录MailTo = root#日志的分析结果,给root用户发送邮件MailFrom = Logwatch#邮件的发送者是Logwatch,在接收邮件时显示Print =#是否打印。如果选择“yes”,那么日志分析会被打印到标准输出,而且不会发送邮件。我们在这里不打印,#而是给root用户发送邮件#Save = /tmp/logwatch#如果开启这一项,日志分析就不会发送邮件,而是保存在/tmp/logwatch文件中#如果开启这一项,日志分析就不会发送邮件,而是保存在/tmp/logwatch文件中Range = yesterday#分析哪天的日志。可以识别“All”“Today”“Yesterday”,用来分析“所有日志”“今天日志”“昨天日志”Detail = Low#日志的详细程度。可以识别“Low”“Med”“High”。也可以用数字表示,范围为0~10,“0”代表最不详细,“10”代表最详细Service = All#分析和监控所有日志Service = "-zz-network"#但是不监控“-zz-network”服务的日志。“-服务名”表示不分析和监控此服务的日志Service = "-zz-sys"Service = "-eximstats"

这个配置文件基本不需要修改(我在实验时把 Range 项改为了 All,否则一会儿的实验可以分析的日志过少),它就会默认每天执行。它为什么会每天执行呢?聪明的读者已经想到了,一定是 crond 服务的作用。没错,logwatch 一旦安装,就会在 /etc/cron.daily/ 目录中建立“0logwatch”文件,用于在每天定时执行 logwatch 命令,分析和监控相关日志。

如果想要让这个日志分析马上执行,则只需执行 logrotate 命令即可。命令如下:

[root@localhost ~]# logwatch#马上执行logwatch日志分析工具[root01ocalhost ~]# mail#查看邮件Heirloom Mail version 12.4 7/29/08. Type ? for help, "/var/spool/mail/root": 5 messages 1 new 2 unread1 [email protected] Fri Jun 7 11:17 42/1482 "Logwatch for localhost.localdomain (Linux)"U 2 [email protected] Fri Jun 7 11:19 42/1481 "Logwatch for localhost.localdomain (Linux)"3 [email protected] Fri Jun 7 11:23 1234/70928 "Logwatch for localhost.localdomain (Linux)"4 [email protected] Fri Jun 7 11:24 190/5070 "Logwatch for localhost.localdomain (Linux)"5 [email protected] Fri Jun 7 11:55 41/1471 "Logwatch for localhost.localdomain (Linux)">N 6 [email protected] Fri Jun 7 11:57 189/5059 "Logwatch for localhost.localdomain (Linux)"#第6封邮件就是刚刚生成的曰志分析邮件,"N"代表没有查看& 6Message 6:From [email protected] Fri Jun 7 11:57:35 2013 Return-Path: <[email protected]>X-Original-To: rootDelivered-To: [email protected]To: [email protected]From: [email protected]Subject: Logwatch for localhost.localdomain (Linux)Content-Type: text/plain; charset="iso-8859-1"Date: Fri, 7 Jun 2013 11:57:33 +0800 (CST)Status: R######## Logwatch 7.3.6 (05/19/07) ################Processing Initiated: Fri Jun 7 11:57:33 2013Date Range Processed: allDetail Level of Output: 0Type of Output: unformattedLogfiles for Host: localhost.localdomain####################################################上面是曰志分析的时间和日期...省略部分输出...--------- Connections (secure-log) Begin-----------#分析secure.log日志的内容。统计新建立了哪些用户和组,以及错误登录信息 New Users:    bb (501)    def (503)    hjk (504)    zhangsan (505)    dovecot (97)    dovenull (498)    aa (500)
New Groups: bb (501) def (503) hjk (504) zhangsan (505) dovecot (97) dovenull (498) aa (500)
Failed logins: User root: (null): 3 Time(s)
Root logins on tty's: 7 Time(s).
**Unmatched Entries**groupadd: group added to /etc/group: name=dovecot, GID=97: 1 Time(s)groupadd: group added to /etc/group: name=dovenul1, GID=498: 1 Time(s)groupadd: group added to /etc/gshadow: name=dovecot: 1 Time(s)groupadd: group added to /etc/gshadow: name=dovenull: 1 Time(s)--------Connections (secure-log)End--------------------SSHD Begin-------------------#分析SSHD的日志。可以知道哪些IP地址连接过服务器SSHD Killed: 7 Time(s)SSHD Started: 24 Time(s)Users logging in through sshd:192.168.0.104: 10 times192.168.0.108: 8 times192.168.0.101: 6 times192.168.0.126: 4 times192.168.0.100: 3 times192.168.0.105: 3 times192.168.0.106: 2 times192.168.0.102: 1 time192.168.0.103: 1 timeSFTP subsystem requests: 3. Time(s)**Unmatched Entries**Exiting on signal 15 : 6 time(s)----------------SSHD End-----------
--------------- yum Begin ---------#统计yum安装的软件。可以知道我们安装了哪些软件
Packages Installed: perl-YAML-Syck-1.07-4.el6.i686 perl-Date-Manip-6.24-1.el6.noarch logwatch-7.3.6-49.el6.noarch-----------yum End-------------
--------Disk Space Begin-------#统计磁盘空间情况Filesystem Size Used Avail Use% Mounted on/dev/sda3 20G 1.9G 17G 11% //dev/sda1 194M 26M 158M 15% /boot/dev/sr0 3.5G 3.5G 0 100% /mnt/cdrom---------Disk Space End-----------------#########Logwatch End ##################

有了这个日志分析工具,日志管理工作就会轻松很多。当然,在 Linux 中可以支持很多日志分析工具,我们在这里只介绍了 CentOS 自带的 logwatch,大家可以根据自己的习惯选择相应的日志分析工具。

运维网工 分享网络运维、运维规划、运维开发、Python运维、Linux运维、devops工具链、k8s容器化技术、自动化监控、日志收集等知识,推广围绕DevOps理念的自动化运维、高效运维、智能运维等优秀实践,让运维工程师更加专注于自动化。 19篇原创内容 公众号 收录于合集 #运维工程师  185个 上一篇K8s 日志高效查看神器,提升运维效率10倍!下一篇9款日志采集&管理工具对比,选型必备!   阅读 1089 运维网工   ​     发消息         复制搜一搜分享收藏划线    

人划线

标签:分析,运维,安装,logwatch,日志,root,localhost
From: https://www.cnblogs.com/cherishthepresent/p/17732781.html

相关文章

  • clickhouse linux 客户端安装和使用
    clickhouselinux客户端安装步骤1:上传安装文件到服务器目录(可以使用正常用户上传)2:使用root用户安装,否则会提示权限不够报错,此外非X86架构服务器也可能会报错(如linuxone服务器报错:packageclickhouse-common-static-0:23.3.6.7-1.x86_64isintendedforadifferentarchitect......
  • Pycharm安装bs4第三方库出错
    昨日正好写的demo需要bs4包,然而安装该库出现了许多问题,下面是复盘以及解决方式(最后直达)。直接安装:点击file(文件)->setting设置进入下界面后,找到自己的项目中的PythonInterperter,发现确实没有bs4,当然就想到进行安装。 点击右上角的加号进入AvailablePackages界面,即可寻找......
  • Ubuntu虚拟机保姆级安装教程
    一、准备工作①下载软件首先打开链接下载VMwareWorkstationPro和Ubuntu需要的镜像文件https://www.123pan.com/s/SaYRVv-MI2g3.html②登录完就开始下载了③最后得到的是这两个文件二、安装工作双击打开这个软件1.下一步2.3.输入密钥JU090-6039P-08409-8J0Q......
  • macOS下安装python3
    使用brew安装python3brewinstallpython3Running`brewupdate--auto-update`...==>Downloadinghttps://ghcr.io/v2/homebrew/portable-ruby/portable-ruby/blobs/sha256:61029cec31c68a1fae1fa90fa876adf43d0becff777da793f9b5c5577f00567a#########################......
  • CentOS7下yum安装php7
    1.安装epel-releaseEPEL(ExtraPackagesforEnterpriseLinux)存储库提供了标准RedHat和CentOS存储库中未包含的其他软件包。EPEL存储库的创建是因为Fedora贡献者希望使用他们在RedHatEnterpriseLinux(RHEL)及其衍生产品(如CentOS,OracleLinux和ScientificLinux)上维护的软......
  • diffusers[torch]==0.21.2 torch==2.0.1+cu117 安装失败解决办法
    安装失败主要原因是pip源使用索引为官方使用清华源设置如下pipinstall-rrequirements.txt\--extra-index-urlhttps://download.pytorch.org/whl/cu117\-ihttps://pypi.tuna.tsinghua.edu.cn/simple......
  • python2.7 pip install pyyaml 安装出现错误
    conda环境python2.7 安装pyyaml:pipinstallpyyaml错误如下: ERROR:Commanderroredoutwithexitstatus1:  command:bin/python2.7/python2.7/site-packages/pip/_vendor/pep517/_in_process.pyget_requires_for_build_wheel/tmp/tmp4If62U    估计是......
  • linux安装tff格式字体(转载)
    记录下Linux系统装字体的步骤。把字体放到/usr/share/fonts下(可以自己在这个目录下新建一个子目录放进去)fc-cache-fv结束。转载自:https://blog.csdn.net/ouyangzhenxin/article/details/82387632......
  • 如何创建可引导的 macOS Sonoma 安装介质
    2023年9月26日(北京时间27日凌晨)macOSSonoma正式版现已发布。如何创建可引导的macOSSonoma安装介质如何创建可引导的macOS安装器|如何制作macOSUSB启动盘请访问原文链接:https://sysin.org/blog/macos-createinstallmedia/,查看最新版。原创作品,转载请保留出处......
  • 微服务测试的关键——通过ELK查询日志
    为什么需要ELK一般我们在工作中查询日志搜索问题时,通常需要直接在日志文件中进行grep、awk操作就可以获得自己想要的信息。但在规模较大的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。随着微服务的广泛应用,无论系统日志,还是业务日......