GNU/Linux >> Tutoriels Linux >  >> Linux

Que sont les journaux Linux et où les trouver

Si vous avez passé du temps avec une distribution Linux, vous avez peut-être entendu le terme Linux fichiers journaux . Voyons quels types de fichiers journaux existent sous Linux, où les trouver et comment les lire.

Qu'est-ce qu'un journal Linux ?

Un fichier journal contient des informations sur l'activité d'un service ou d'un programme spécifique en texte brut, avec un horodatage. Par exemple, si vous êtes sur un système basé sur Debian, vous utilisez sans aucun doute apt pour la gestion des colis. Il existe un journal pour apt, qui contient l'historique complet de tous les programmes qui ont été installés, supprimés, purgés, etc. à l'aide de la commande apt, avec l'heure à laquelle cela s'est produit.

En règle générale, lorsque le système est fluide et stable, nous n'avons même pas besoin de prendre la peine de les regarder. Les fichiers journaux Linux entrent en scène lorsqu'il y a un problème avec le système, et vous devez consulter les fichiers journaux pour le résoudre. Dans un autre cas, les fichiers journaux sont pratiques pour les administrateurs système. Ils ont toujours besoin de savoir ce qui se passe et quand.

Quelle que soit la distribution Linux que vous utilisez, les fichiers journaux résident dans le répertoire /var/log/. Dans cet article, nous discuterons des fichiers journaux les plus importants que vous devez connaître.

Fichiers journaux Linux importants

1. Journaux système

Les journaux système sont directement archivés par les composants du système d'exploitation. Cela inclut les informations de changement d'appareil, les informations de changement de système et un large éventail de choses en général.

2. Journaux des événements

Les journaux d'événements contiennent les informations sur le réseau et, dans certains cas, les informations sur les applications également. Les informations sur les verrouillages de compte et les tentatives de mot de passe infructueuses sont incluses dans les journaux d'événements.

3. Journaux des applications

Les journaux d'application contiennent des journaux créés et générés par des applications spécifiques.

4. Journaux du noyau

Les journaux du noyau sont les journaux déposés directement par le noyau. Ils sont extrêmement utiles pour résoudre les problèmes de noyau.

Localiser les journaux Linux

Comme nous l'avons mentionné précédemment, quelle que soit la distribution, les fichiers journaux sont toujours stockés dans le répertoire /var/log répertoire sur n'importe quel système Linux. Par conséquent, pour consulter les fichiers journaux, nous nous déplaçons d'abord dans ce répertoire :

cd /var/log/

Et voir le contenu :

ls

Comme vous pouvez le voir, il existe de nombreux fichiers journaux sur de nombreux programmes/services différents. Seul cet utilisateur peut dire quels journaux sont essentiels à un utilisateur spécifique, mais nous allons vous parler de certains des fichiers journaux les plus utiles.

Journaux importants

1. Syslog ou messages

Ce journal contient les informations générales de tout système, y compris le journal de données de toutes les activités génériques, les erreurs et les informations sur le réseau. C'est le fichier journal de référence pour tout problème simple.

Sur les systèmes basés sur RedHat, il est stocké dans /var/log/messages .
Sur le système basé sur Debian, il est stocké dans /var/log/syslog .

2. auth.log ou sécurisé

Il s'agit du journal d'authentification. Il inclut tous les journaux de tentatives de connexion, qu'elles aient réussi ou non. Les journaux à la fois la connexion de systemd (si votre distribution l'a) et aussi de tout gestionnaire d'affichage que vous avez.

Sur les systèmes basés sur RedHat, il est stocké dans /var/log/secure .
Sur les systèmes basés sur Debian, il est stocké dans /var/log/auth.log .

3. kern.log

Ceci est le journal du noyau. Ce n'est probablement pas utile à la plupart des utilisateurs, mais c'est un journal critique. Il enregistre toute l'activité du noyau, y compris l'interaction matérielle, l'initialisation du matériel au démarrage et les appels système.

Il se trouve dans /var/log/kern.log sur toutes les distributions.

4. boot.log

Le journal de démarrage contient les messages consignés au moment du démarrage du système. Les messages relayés par les scripts de démarrage sont enregistrés ici. Généralement, s'il y a des problèmes avec un arrêt ou un redémarrage non planifié, ou une anomalie dans les processus de démarrage, le journal est consulté pour voir ce qui se passe.

5. journal des échecs

Celui-ci est intéressant. Il contient les journaux des tentatives de connexion infructueuses. Il est particulièrement utile pour des raisons de sécurité, car la connexion est la première étape pour faire quoi que ce soit sur un système. Les attaques par force brute de connexion peuvent être facilement détectées en utilisant l'intervalle de temps entre les connexions consécutives.

Il se trouve dans /var/log/faillog sur toutes les distributions.

6. apport.log (uniquement sur les systèmes basés sur Ubuntu)

Il a souvent été constaté que lorsqu'une application plantait, il n'y avait aucun journal de celle-ci. Il n'avait pas de fichier journal spécifique et n'a été enregistré dans aucun autre journal. Pour résoudre ce problème, Ubuntu a créé le fichier apport.log. Lorsqu'un programme plante, il est enregistré dans le fichier apport.log. En savoir plus ici.

Il se trouve dans /var/log/apport.log sur les systèmes basés sur Ubuntu.

7. Journal du gestionnaire de packages

C'est un journal utile, même pour les utilisateurs occasionnels. Il s'agit d'un enregistrement de tout gestionnaire de packages utilisé par votre système, ou plus particulièrement par l'utilisateur (il peut être multiple). L'installation, la suppression, la purge des programmes est enregistrée dans le journal.

Systèmes basés sur Debian

Les systèmes basés sur Debian utilisent le apt la gestion des packages dont les logs sont dans le répertoire /var/log/apt . Deux fichiers journaux y sont généralement présents :

historique.log :Il enregistre l'historique de la gestion des paquets effectuée par apt d'une manière formatée simple.

term.log  :Il enregistre la sortie exacte affichée dans le terminal au moment de l'utilisation de apt commande sous n'importe quelle forme.

Les systèmes Debian utilisent également la gestion DPKG pour les fichiers DEB, il a donc également un journal pour cela. Il peut être trouvé à /var/log/dpkg.log .

Systèmes RedHat

Les systèmes RedHat utilisent le système de gestion de paquets DNF par défaut. L'installation, la suppression et d'autres tâches relatives aux packages peuvent être trouvées dans le dnf Journal. Il se trouve dans /var/log/dnf.log .

8. mysqld.log ou mysql.log

Les journaux répertoriés à partir d'ici sont un peu plus orientés vers les utilisateurs principaux. MySQL est un service souvent utilisé par les utilisateurs. Ils peuvent être des administrateurs système, des responsables de sites Web ou simplement utiliser MySQL à des fins personnelles. Étant un service si précieux, il doit avoir un fichier journal dédié. Tous les messages de réussite, d'échec ou de débogage sont enregistrés ici.

Sur les systèmes basés sur RedHat, il est stocké dans /var/log/mysqld.log .
Sur les systèmes basés sur Debian, il est stocké dans /var/log/mysql.log .

httpd

Ce répertoire contient les journaux du serveur Apache sur le système. Il a généralement deux fichiers, -error_log et access_log , qui stockent des informations indiquant uniquement le nom du fichier.

Vous pouvez le trouver sur /var/log/httpd/ sur toutes les distributions.

mail.log

Les services de messagerie intégrés au système et à la ligne de commande étaient largement utilisés jusqu'à il y a quelques années. Clair par le nom lui-même, mail.log contient les journaux d'utilisation de ces services de messagerie.

Vous pouvez le trouver sur /var/log/mail.log .

Lecture des journaux

1. CLI

Maintenant, nous pouvons enfin arriver à un point important, qui est la lecture de ces journaux. Il existe différentes manières dont vous pouvez et dont vous auriez besoin pour lire les journaux. Par exemple, si vous voulez juste voir la partie finale du fichier journal (pour connaître l'activité la plus récente), vous pouvez utiliser la tail commande. La commande n'imprime que les 10 dernières lignes d'un fichier.

Exemple :

sudo tail /var/log/syslog

D'un autre côté, si vous voulez naviguer dans tout le fichier et rechercher des choses, vous pouvez utiliser le fameux moins commande. Vous pouvez utiliser les touches Haut et Bas pour naviguer dans le fichier. Pour effectuer une recherche, appuyez sur la touche ‘/’ et entrez le terme de recherche exact. Le terme recherché doit être mis en surbrillance. Exemple :

sudo less /var/log/syslog

2. interface graphique

Il existe plusieurs programmes graphiques pour aider les utilisateurs à lire les fichiers journaux sur un système. Aujourd'hui, nous allons jeter un œil à glogg .

glogg est un programme de visualisation de journaux doté d'une interface simple. Le site officiel le décrit comme une combinaison du moins et grep commandes. Vous pouvez ouvrir glogg, puis ouvrez un fichier journal à l'aide du bouton fourni en haut à gauche pour ouvrir un fichier journal.

Nous suggérons une autre méthode, qui consiste à lancer glogg à partir de la ligne de commande, ainsi que l'emplacement du fichier journal. Cela facilite l'ouverture du fichier journal. La commande ressemble à :

sudo glogg /var/log/syslog &
Interface utilisateur

Le journal s'affiche dans la fenêtre principale. Il y a une boîte de recherche en bas, dans laquelle vous pouvez rechercher le terme que vous recherchez. Il y a aussi une barre de fréquence sur la droite, qui montre à quelle fréquence le terme recherché apparaît dans le fichier journal.

Installation

Il peut être installé facilement sur les systèmes basés sur Debian et Ubuntu avec la commande :

sudo apt install glogg

Sur les systèmes basés sur Fedora/CentOS :

sudo dnf install glogg

Vous pouvez trouver une aide supplémentaire pour l'installation ici.

Informations supplémentaires

Il existe d'autres informations critiques que vous devez connaître sur les fichiers journaux.

Rotation des journaux

Les fichiers journaux sont « tournés » régulièrement. Cela signifie que de nouvelles versions d'un fichier journal sont créées régulièrement, car les fichiers journaux ont certaines limites de stockage ou des contraintes temporelles. Si vous émettez la commande :

ls /var/log/

Vous pouvez voir que plusieurs fichiers ont le même nom sauf pour ".1" ou ".2.gz" à la fin. Ce ne sont que des versions plus anciennes du même fichier. Les conditions de rotation des journaux peuvent être configurées. Vous pouvez trouver les fichiers de configuration avec la commande :

cd /etc/logrotate.d/
ls

Les fichiers nommés différemment sont les configurations de journal respectives. Un de ces fichiers ressemble un peu à ceci :

Cela peut simplement être modifié pour changer les configurations des fichiers journaux respectifs.

rsyslog

rsyslog est le service responsable de la création des fichiers journaux en premier lieu. Ses fichiers de configuration sont disponibles sur /etc/rsyslog.conf et le répertoire /etc/rsyslog.d . Semblable à la rotation des journaux, vous pouvez configurer ces fichiers en fonction de vos besoins.

Conclusion

Les journaux sont bénéfiques et utiles dans presque tous les cas concernant un dysfonctionnement du matériel ou du logiciel du système Linux. La lecture des fichiers journaux peut être instructive et peut vous aider à mieux comprendre votre système. Nous espérons que cet article vous a aidé. Si oui, n'oubliez pas de le partager avec vos amis.


Linux
  1. Linux - Comment savoir quels disques durs sont dans le système ?

  2. Que sont les processus Linux, les threads, les processus légers et l'état du processus

  3. Quelle est la différence entre la commande locate et find sous Linux

  4. Que sont les liens symboliques (Soft Links) et comment les créer sous Linux

  5. Quelle est la différence entre "localiser" et "trouver" sous Linux ?

Comment trouver les périphériques connectés au réseau sous Linux

Que sont les Snaps et comment les installer sur différentes distributions Linux

Qu'est-ce que l'UID sous Linux, comment le trouver et le modifier

Comment trouver quelles adresses IP sont connectées à Linux

Comment trouver des fichiers en double sous Linux et les supprimer

Qu'est-ce que la mémoire haute et la mémoire basse sous Linux ?