GNU/Linux >> Tutoriels Linux >  >> Linux

3 façons de regarder les journaux en temps réel sous Linux

Vous savez comment afficher des fichiers sous Linux. Vous utilisez la commande cat ou probablement moins de commande à cette fin.

C'est bon pour les fichiers qui ont un contenu statique. Mais les fichiers journaux sont dynamiques et leur contenu change avec le temps. Pour surveiller les journaux, vous devez surveiller le fichier journal au fur et à mesure que son contenu change.

Comment voyez-vous le contenu des fichiers journaux en temps réel ? Tail est la commande la plus populaire à cette fin, mais il existe également d'autres outils. Je vais vous les montrer dans ce tutoriel.

Méthode 1 :surveiller les fichiers journaux avec la commande tail

La commande tail est si populaire pour afficher les fichiers journaux dans la vraie vie que les administrateurs système utilisent le terme « suivre le fichier journal ».

La commande tail est essentiellement utilisée pour afficher les lignes d'un fichier à partir de la fin et donc le terme 'tail'.

Vous pouvez utiliser le -f option pour suivre la fin d'un fichier, ce qui signifie qu'il continuera à afficher les nouvelles lignes ajoutées au fichier en continu.

tail -f location_of_log_file

Pour arrêter la traînée du fichier journal, utilisez Ctrl+C raccourci du terminal.

Queue et grep

Très bien! Ainsi, la commande tail résout un problème en montrant les modifications du fichier dans la vie réelle. Mais regarder le fichier journal en continu lorsque tant de changements rapides se produisent en temps réel n'est pas très utile.

Vous serez souvent à la recherche d'un terme particulier lors de la surveillance du fichier journal. Trouver cela dans le flot de nouvelles lignes entrantes est presque impossible.

Pour faciliter les choses, combinez les commandes tail et grep comme ceci :

tail -f log_file | grep search_term

C'est bien, non ? Faisons un peu mieux.

J'ai souvent constaté que seules les lignes avec les termes recherchés ne révèlent pas les détails nécessaires. C'est pourquoi j'utilise la commande grep pour afficher quelques lignes avant et après le terme recherché avec l'option -C .

tail -f log_file | grep -C 3 search_term

Maintenant, vous verrez les lignes correspondant au terme de recherche avec 3 lignes avant et après. Cela vous donnera une meilleure perspective sur ce qui se passe.

Vous voulez le rendre encore meilleur ? Vous pouvez effectuer un grep sur plusieurs termes de recherche et même en faire une recherche insensible à la casse :

tail -f log_file | grep -C 3 -i - E 'search_term_1|search_term_2'

Fin du fichier avec rotation du journal

Si vous travaillez sur un serveur d'entreprise, il y a de fortes chances que les journaux fassent l'objet d'une rotation. Cela signifie qu'une fois que le fichier journal actuel atteint une certaine taille, il est renommé et compressé.

Cela crée un problème si vous suivez un fichier journal en temps réel. Par défaut, la commande tail fonctionne sur le descripteur de fichier. Si le fichier journal actuel est pivoté, la commande tail pointera désormais vers un fichier journal archivé qui n'enregistrera plus aucune modification.

La solution consiste à faire suivre un fichier journal par son nom. De cette façon, même lorsque la rotation du journal a lieu, la queue pointera vers le fichier journal actuel (car son nom ne change jamais).

tail --follow=name log_file | grep -C 3 -i - E 'search_term_1|search_term_2'

C'est beaucoup mieux maintenant. La prochaine fois que vous suivrez un fichier journal, utilisez-le de cette façon pour le surveiller plus efficacement.

Tail est pratique pour surveiller un fichier journal en temps réel, mais que se passe-t-il si vous devez analyser plusieurs fichiers journaux en même temps ? La réponse se trouve dans la section suivante.

Observation de plusieurs fichiers journaux avec tail

Cela devrait fonctionner dans les systèmes Linux. Vous pouvez surveiller plusieurs fichiers journaux en même temps avec la commande tail. Indiquez simplement le chemin du fichier de cette manière :

tail -f log_file_1 -f log_file_2

Vous verrez qu'il commence à afficher les modifications en temps réel avec le nom du fichier avant afin que vous puissiez distinguer les différentes sources de journal.

Il existe un moyen légèrement plus efficace d'afficher plusieurs fichiers journaux à la fois à l'aide d'un utilitaire appelé multitail.

Méthode 2 :surveiller plusieurs fichiers journaux à la fois avec multitail

Multitail, comme son nom l'indique, est utilisé pour afficher plusieurs fichiers à la fois.

Quel est le problème ? La commande tail peut aussi faire la même chose, n'est-ce pas ?

Mais Multitail a un certain avantage sur la commande de queue conventionnelle. Il affiche les fichiers dans des vues fractionnées et vous pouvez même afficher différents fichiers dans différentes lignes et colonnes.

Rappelez-vous, la queue montre tout dans la même vue et cela devient difficile à suivre. Multitail surmonte cette difficulté en fournissant une vue fractionnée comme la commande screen.

Multitail n'est pas une commande essentielle comme tail et vous devrez peut-être l'installer avant de l'utiliser.

Vous pouvez lui fournir plusieurs fichiers mais je pense que plus de 3 fichiers seraient difficiles à suivre à la fois.

multitail log_file_1 log_file_2

Par défaut, multitail fonctionne de la même manière que tail -f . Il affiche les 100 dernières lignes, puis passe en vue en temps réel. Par défaut, il divise la vue en lignes.

Vous pouvez appuyer sur b pour ouvrir une fenêtre de sélection et sélectionner le fichier journal de votre choix pour l'afficher et le faire défiler pour une analyse plus approfondie.

Appuyez sur q pour quitter de toutes sortes de vues en multitail.

Vous pouvez diviser les vues en colonnes comme ceci :

multitail -s 2 log_file_1 log_file_2

Il y a un espace obligatoire entre -s et le nombre de colonnes.

Multitail est capable de faire d'autres choses mais je n'entrerai pas dans ces détails dans ce tutoriel.

Jusqu'à présent, vous avez vu deux façons de surveiller les fichiers journaux. Il existe une autre façon moins conventionnelle de voir les changements de fichiers dans la vie réelle et qui utilise la commande less

Méthode 3 :Afficher les modifications du fichier journal en temps réel avec less command

La commande less est plus pour lire des fichiers texte sans encombrer l'écran. Il peut également être utilisé pour lire des fichiers avec des modifications en temps réel.

L'option +F permet à less de suivre les modifications apportées à un fichier texte.

less +F log_file

Il ouvre les fichiers journaux avec les modifications qui y sont écrites affichées en temps réel.

Appuyez sur Ctrl+c pour interrompre et q pour quitter la vue.

Cette méthode vous permet d'avoir une vue rapide des modifications du journal sans encombrer l'écran contrairement à la commande tail.

Conclusion

Cette méthode de surveillance des fichiers journaux sous Linux fonctionne pour les fichiers journaux traditionnels basés sur du texte. Pour les journaux système, les journaux système sont toujours là, mais de nombreuses distributions Linux sont passées aux journaux de journal et pour afficher et analyser les journaux de journal, vous devez utiliser les commandes journalctl.

En dehors de cela, il existe d'autres outils sophistiqués comme Graylog pour l'analyse des journaux à un niveau plus profond avec des tableaux de bord et des graphiques. Plus d'informations à ce sujet dans un autre article.

J'espère que vous avez appris quelques nouvelles choses à partir de ce sujet apparemment simple sur la surveillance des journaux en temps réel sous Linux. Vos commentaires sont les bienvenus.


Linux

  1. Faire pivoter et archiver les journaux avec la commande Linux logrotate

  2. Comment utiliser la commande tail pour voir les journaux en temps réel

  3. Commandes d'accès aux fichiers sous Linux - rechercher, trier, tête, queue

  4. Analyse audio en temps réel sous Linux

  5. Regarder le système de fichiers en temps réel sur OS X et Ubuntu

Comment vérifier les journaux système sous Linux [Guide d'utilisation complet]

Que sont les journaux Linux et où les trouver

7 façons d'utiliser la commande Linux Watch

GoAccess - Un analyseur de journaux Apache et Nginx en temps réel

15 façons d'utiliser la commande Linux Watch pour les activités quotidiennes

Surveillez l'utilisation de la bande passante du réseau Linux en temps réel avec nload