2018-09-11 13:51:46 ds1130071727 阅读数 4546
  • Linux系统网络配置

    1.从0开始能成功搭建大数据平台 2.各个技术组件从版本选择、兼容性、下载、安装、配置和测试运行,都会一一讲解到位,不会出现跳讲和断讲 3.各个技术组件使用较新版本,如JDK1.8、CDH5.10、Spark2.3.0

    11032课时 0分钟 238人学习 杨俊
    免费试看

一、printk()的介绍

Linux系统在开机的过程中我们可以看见很多打印信息,这都是Linux内核内部调用printk(level,message)函数打印出来的

其中level是定义的打印优先级,当优先级小于console_loglevel时定义的优先级小于当前日志的打印级别时,信息才会打印在控制终端(根据要打印信息的类型,分为0~7,其中0位最高级别),通常宏来指示日志优先级

#define KERN_EMERG      "<0>"    /* system is unusable */
#define KERN_ALERT      "<1>"    /* action must be taken immediately */
#define KERN_CRIT       "<2>"    /* critical conditions */
#define KERN_ERR        "<3>"    /* error conditions */
#define KERN_WARNING    "<4>"    /* warning conditions */
#define KERN_NOTICE     "<5>"    /* normal but significant */
#define KERN_INFO       "<6>"    /* informational */

#define KERN_DEBUG      "<7>"    /* debug-level messages */

 

其中console_loglevel的初始值是DEFAULT_CONSOLE_LOGLEVEL,可以通过sys_syslog()系统调用进行修改,或者修改文件/proc/sys/kernel/printk下的优先级,,这个文件中包含了4个整数值,分别是当前日志优先级,未明确指定的日志级别时的默认日志优先级,最小允许的日志优先级,引导时的默认日志优先级。向该文件中写入一个整数值,就会把当前日志文件的优先级修改为该值,修改方式为

echo 4 > /proc/sys/kernel/printk(linux内核2.6日志默认的优先级是4)

message是我们要打印出调试的信息

 

二、消息被记录的原理

在内核中有一个内核自定义的一个长度为__LOG_BUF_LEN(在内核配置时为该变量配置值,范围是4kb~1mb)字节ring buffer(循环缓冲区),Linux系统中所有的系统信息输出的信息都是调用printk()都被输出到这里(包含内核信息),

通常获得我们想要的信息,有两种方式,一种是直接读取ring buffer中的信息,另一种是查看/var/log下的文件。

1、直接使用dmesg命令

该命令直接从循环缓冲区中读取数据到stdout

2、通过查看/var/log下的文件

在Linux中有两个守护程序,klogd和syslogd

klogd这个进程会通过syslog()这个系统调用或者读取proc文件系统来得到printk()从ring buffer中得到的信息,也就是我们的内核信息。并且klogd也会把信息传给syslog这个进程的。

LINUX系统启动后,由/etc/init.d/sysklogd先后启动klogd,syslogd两个守护进程,其中syslogd通过/etc/syslog.conf这个配置文件将系统产生的信息分类记录到相应的log中,因此这个目录下会有很多文件,其中将klogd传输过来的内核信息记录到/var/log/messgae中。

 

需要注意的是!!!,syslogd获取内核信息依赖进程klogd,因此要想通过syslogd获得内核的信息,klogd和syslogd这两个守护进程必须同时存在(这时无论当前日志的级别是多少,klogd都会把内核消息输出到/var/log/messgae下。这里我的理解是把打印级别高的输出到控制台,而把所有的内核信息,无论打印级别高低,都输出到/var/log/messgae下),如果klogd没有运行,内核不会传递信息到用户空间,因此此时/var/log/messgae不会有信息,此时只能通过查看内核专门用来存放打印信息的目录/proc/kmsg。

因为循环缓冲区的大小是固定的因此不能无限制的存储日志信息,因此当缓冲区满了之后,printk()函数会从缓冲区的开头,通过覆盖之前的日志信息继续存储最新的信息,这样做会导致原来的信息丢失,但一般之前的信息对我们的调试没什么作用,因此这样做是有利的。

 

为了避免大量的输出信息影响调试,可以通过klogd -f选项指定文件,将信息输出到指定的文件内,或者强制杀死进程klogd,然后打开一个新的终端,使用命令cat /proc/kmsg将信息显示在新打开的终端。

 

一.查看日志方式

命令格式: tail[必要参数][选择参数][文件]

这个是我最常用的一种查看方式
1.tail

   -f 循环读取
   -q 不显示处理信息
   -v 显示详细的处理信息
   -c<数目> 显示的字节数
   -n<行数> 显示行数
   -q, --quiet, --silent 从不输出给出文件名的首部 
   -s, --sleep-interval=S 与-f合用,表示在每次反复的间隔休眠S秒

   tail  -n  10   test.log   查询日志尾部最后10行的日志;
   tail  -n +10   test.log   查询10行之后的所有日志;
   tail  -fn 10   test.log   循环实时查看最后1000行记录(最常用的)

   //一般还会配合着grep用, 例如 :  tail -fn 1000 test.log | grep '关键字'
   如果一次性查询的数据量太大,可以进行翻页查看,
   例如:tail -n 4700  aa.log |more -1000 可以进行多屏显示(ctrl + f 或者 空格键可以快捷键)

2.head

head -n  10  test.log   //查询日志文件中的头10行日志;
head -n -10  test.log   //查询日志文件除了最后10行的其他所有日志;

head其他参数与tail 类似

3.cat
cat 是由第一行到最后一行连续显示在屏幕上

一次显示整个文件 : $ cat filename
从键盘创建一个文件 : $ cat > filename  
将几个文件合并为一个文件: $cat file1 file2 > file //只能创建新文件,不能编辑已有文件.
将一个日志文件的内容追加到另外一个 : $cat -n textfile1 > textfile2
清空一个日志文件 $cat : >textfile2 

注意:>意思是创建,>>是追加。千万不要弄混了。
cat其他参数与tail 类似

4.tac
tac 则是由最后一行到第一行反向在萤幕上显示出来

5.sed

这个命令可以查找日志文件特定的一段 , 也可以根据时间的一个范围查询

  //按照行号
  sed -n '5,10p' filename //这样你就可以只查看文件的第5行到第10行。
  //按照时间段
  sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p'  test.log

6.less

less log.log 

shift + G 命令到文件尾部  然后输入 ?加上你要搜索的关键字例如 ?1213

shift+n  关键字之间进行切换

二.其他会应用到的命令

history // 所有的历史记录

history | grep XXX  // 历史记录中包含某些指令的记录

history | more // 分页查看记录

history -c // 清空所有的历史记录

!! 重复执行上一个命令

查询出来记录后选中 : !323

linux日志文件说明

/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一
/var/log/secure 与安全相关的日志信息
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息
/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件

2017-03-01 15:57:11 xinzhifu1 阅读数 30435
  • Linux系统网络配置

    1.从0开始能成功搭建大数据平台 2.各个技术组件从版本选择、兼容性、下载、安装、配置和测试运行,都会一一讲解到位,不会出现跳讲和断讲 3.各个技术组件使用较新版本,如JDK1.8、CDH5.10、Spark2.3.0

    11032课时 0分钟 238人学习 杨俊
    免费试看

linux查看日志的命令有多种: tail、cat、tac、head、echo


一.查看日志方式

命令格式: tail[必要参数][选择参数][文件]

这个是我最常用的一种查看方式
**1.tail **

   -f 循环读取
   -q 不显示处理信息
   -v 显示详细的处理信息
   -c<数目> 显示的字节数
   -n<行数> 显示行数
   -q, --quiet, --silent 从不输出给出文件名的首部 
   -s, --sleep-interval=S 与-f合用,表示在每次反复的间隔休眠S秒
   
   tail  -n  10   test.log   查询日志尾部最后10行的日志;
   tail  -n +10   test.log   查询10行之后的所有日志;
   tail  -fn 10   test.log   循环实时查看最后1000行记录(最常用的)

   //一般还会配合着grep用, 例如 :  tail -fn 1000 test.log | grep '关键字'
   如果一次性查询的数据量太大,可以进行翻页查看,
   例如:tail -n 4700  aa.log |more -1000 可以进行多屏显示(ctrl + f 或者 空格键可以快捷键)

2.head

head -n  10  test.log   //查询日志文件中的头10行日志;
head -n -10  test.log   //查询日志文件除了最后10行的其他所有日志;

head其他参数与tail 类似

3.cat
cat 是由第一行到最后一行连续显示在屏幕上

一次显示整个文件 : $ cat filename
从键盘创建一个文件 : $ cat > filename  
将几个文件合并为一个文件: $cat file1 file2 > file //只能创建新文件,不能编辑已有文件.
将一个日志文件的内容追加到另外一个 : $cat -n textfile1 > textfile2
清空一个日志文件 $cat : >textfile2 

注意:>意思是创建,>>是追加。千万不要弄混了。
cat其他参数与tail 类似

4.tac
tac 则是由最后一行到第一行反向在萤幕上显示出来

5.sed

这个命令可以查找日志文件特定的一段 , 也可以根据时间的一个范围查询

  //按照行号
  sed -n '5,10p' filename //这样你就可以只查看文件的第5行到第10行。
  //按照时间段
  sed -n '/2014-12-17 16:17:20/,/2014-12-17 16:17:36/p'  test.log

6.less

less log.log 

shift + G 命令到文件尾部  然后输入 ?加上你要搜索的关键字例如 ?1213

shift+n  关键字之间进行切换

二.其他会应用到的命令

history // 所有的历史记录

history | grep XXX  // 历史记录中包含某些指令的记录

history | more // 分页查看记录

history -c // 清空所有的历史记录

!! 重复执行上一个命令

查询出来记录后选中 : !323

linux日志文件说明

/var/log/message 系统启动后的信息和错误日志,是Red Hat Linux中最常用的日志之一
/var/log/secure 与安全相关的日志信息
/var/log/maillog 与邮件相关的日志信息
/var/log/cron 与定时任务相关的日志信息
/var/log/spooler 与UUCP和news设备相关的日志信息
/var/log/boot.log 守护进程启动和停止相关的日志消息
/var/log/wtmp 该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件


整理了几百本各类技术电子书和视频课程 ,送给小伙伴们。同名公号内回【666】自行领取。和一些小伙伴们建了一个技术交流群,一起探讨技术、分享技术资料,旨在共同学习进步,如果感兴趣就扫码加入我们吧!

2019-01-05 11:45:14 zuozewei 阅读数 984
  • Linux系统网络配置

    1.从0开始能成功搭建大数据平台 2.各个技术组件从版本选择、兼容性、下载、安装、配置和测试运行,都会一一讲解到位,不会出现跳讲和断讲 3.各个技术组件使用较新版本,如JDK1.8、CDH5.10、Spark2.3.0

    11032课时 0分钟 238人学习 杨俊
    免费试看

引言

在上文中,我们已经详细介绍 linux 三剑客的基本使用,接下来我们看看具体在性能测试领域的运用,本文主要介绍的是在 Tomcat 和 Nginx access日志的统计分析。

Tomcat统计请求响应时间

server.xml 使用配置方式,%D-请求时间,%F响应时间

<Valve className="org.apache.catalina.valves.AccessLogValve" directory="logs"
prefix="localhost_access_log." suffix=".txt"
pattern="%h %l %u [%{yyyy-MM-dd HH:mm:ss}t] %{X-Real_IP}i &quot;%r&quot; %s %b %D %F" />

字段说明如下:

  • %h - 发起请求的客户端 IP 地址。这里记录的 IP 地址并不一定是真实用户客户机的 IP 地址,它可能是私网客户端的公网映射地址或代理服务器地址。

  • %l - 客户机的 RFC 1413 标识 ( 参考 ) ,只有实现了 RFC 1413 规范的客户端,才能提供此信息。

  • %u - 远程客户端用户名称,用于记录浏览者进行身份验证时提供的名字,如登录百度的用户名 zuozewei,如果没有登录就是空白。

  • %t - 收到请求的时间(访问的时间与时区,比如18/Jul/2018:17:00:01 +0800,时间信息最后的 "+0800" 表示服务器所处时区位于 UTC 之后的8小时)

  • %{X-Real_IP}i - 客户端的真实ip

  • %r - 来自客户端的请求行(请求的 URI 和 HTTP 协议,这是整个 PV 日志记录中最有用的信息,记录服务器收到一个什么样的请求)

  • %>s - 服务器返回客户端的状态码,比如成功是 200。

  • %b - 发送给客户端的文件主体内容的大小,不包括响应头的大小(可以将日志每条记录中的这个值累加起来以粗略估计服务器吞吐量)

  • %{Referer}i - 记录从哪个页面链接访问过来的(请求头Referer的内容 )

  • %D - 处理请求的时间,以毫秒为单位

  • %F - 客户端浏览器信息提交响应的时间,以毫秒为单位

日志样例:

47.203.89.212 - - [19/Apr/2017:03:06:53 +0000] "GET / HTTP/1.1" 200 10599 50 49

Nginx统计请求和后台服务响应时间

使用默认 combined 的经典格式上扩展 response_time&upstream_response_time

nginx.conf 使用配置方式:

log_format main '$remote_addr - $remote_user [$time_local] "$request" $status $body_bytes_sent $request_time  $upstream_response_time "$http_referer" "$http_user_agent" "$http_x_forwarded_for"';

字段说明如下:

  • $remote_addr - 发起请求的客户端 IP 地址。这里记录的 IP 地址并不一定是真实用户客户机的 IP 地址,它可能是私网客户端的公网映射地址或代理服务器地址。
  • $remote_user - 远程客户端用户名称,用于记录浏览者进行身份验证时提供的名字,如登录百度的用户名 zuozewei,如果没有登录就是空白。
  • [$time_local] - 收到请求的时间(访问的时间与时区,比如18/Jul/2018:17:00:01 +0800,时间信息最后的 "+0800" 表示服务器所处时区位于 UTC 之后的8小时)
  • “$request” - 来自客户端的请求行(请求的 URI 和 HTTP 协议,这是整个 PV 日志记录中最有用的信息,记录服务器收到一个什么样的请求)
  • $status - 服务器返回客户端的状态码,比如成功是 200。
  • $body_bytes_sent - 发送给客户端的文件主体内容的大小,不包括响应头的大小(可以将日志每条记录中的这个值累加起来以粗略估计服务器吞吐量)
  • $request_time - 整个请求的总时间,以秒为单位(包括接收客户端请求数据的时间、后端程序响应的时间、发送响应数据给客户端的时间(不包含写日志的时间))
  • $upstream_response_time - 请求过程中,upstream 的响应时间,以秒为单位(向后端建立连接开始到接受完数据然后关闭连接为止的时间)
  • “$http_referer” - 记录从哪个页面链接访问过来的(请求头 Referer 的内容 )
  • “$http_user_agent” - 客户端浏览器信息(请求头User-Agent的内容 )
  • "$ http_x_forwarded_for"- 客户端的真实ip,通常web服务器放在反向代理的后面,这样就不能获取到客户的IP地址了,通过 $remote_add拿到的IP地址是反向代理服务器的iP地址。反向代理服务器在转发请求的 http 头信息中,可以增加 x_forwarded_for** 信息,用以记录原有客户端的IP地址和原来客户端的请求的服务器地址。

日志示例:

218.56.42.148 - - [19/Apr/2017:01:58:04 +0000] "GET / HTTP/1.1" 200 0 0.023 - "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36" "-"

AWK 简介

为了能理解 AWK 程序,我们下面概述其基本知识。

AWK 程序可以由一行或多行文本构成,其中核心部分是包含一个模式和动作的组合。

pattern { action }

模式( pattern ) 用于匹配输入中的每行文本。对于匹配上的每行文本,awk 都执行对应的 动作( action )。模式和动作之间使用花括号隔开。awk 顺序扫描每一行文本,并使用 记录分隔符(一般是换行符)将读到的每一行作为 记录,使用 域分隔符( 一般是空格符或制表符 ) 将一行文本分割为多个 域, 每个域分别可以使用 $1, $2, … $n 表示。$1 表示第一个域,22 表示第二个域,n 表示第 n 个域。 $0 表示整个记录。模式或动作都可以不指定,缺省模式的情况下,将匹配所有行。缺省动作的情况下,将执行动作 {print},即打印整个记录。

此处使用Nginx access.log 举例,Tomcat 日志自己举一反三。
使用 awk 分解出Nginx access日志中的信息

218.56.42.148 - - [19/Apr/2017:01:58:04 +0000] "GET / HTTP/1.1" 200 0 0.023 - "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.133 Safari/537.36" "-"
  • $0 就是整个记录行
  • $1 就是访问 IP ”218.56.42.148”
  • $4 就是请求时间的前半部分 “[19/Apr/2017:01:58:04”
  • $5 就是请求时间的后半部分 “+0000]”

以此类推……
当我们使用默认的域分割符时,我们可以从日志中解析出下面不同类型的信息:

awk '{print $1}' access.log       # IP 地址  ($remote_addr) 
awk '{print $3}' access.log       # 用户名称  $remote_user) 
awk '{print $4,$5}' access.log    # 日期和时间  ([$time_local]) 
awk '{print $7}' access _log      # URI ($request) 
awk '{print $9}' access _log      # 状态码 ($status) 
awk '{print $10}' access _log     # 响应大小 ($body_bytes_sent)
awk '{print $11}' access _log     # 请求时间 ($request_time)
awk '{print $12}' access _log     # upstream响应时间 ($upstream_response_time)

我们不难发现,仅使用默认的域分隔符,不方便解析出请求行、引用页和浏览器类型等其他信息,因为这些信息之中包含不确定个数的空格。
因此,我们需要把域分隔符修改为 “ ,就能够轻松读出这些信息。

awk -F\" '{print $2}' access.log        # 请求行 ($request) 
awk -F\" '{print $4}' access.log        # 引用页 ($http_referer)
awk -F\" '{print $6}' access.log        # 浏览器 ($http_user_agent)
awk -F\" '{print $8}' access.log        # 真实ip ($http_x_forwarded_for)

注意:这里为了避免 Linux Shell 误解 “ 为字符串开始,我们使用了反斜杠,转义了 “ 。
现在,我们已经掌握了 awk 的基本知识,以及它是怎样解析日志的。

使用场景举例

此处使用Nginx access.log 举例,Tomcat 日志自己举一反三。

浏览器类型统计

如果我们想知道那些类型的浏览器访问过网站,并按出现的次数倒序排列,我可以使用下面的命令:

awk -F\" '{print $6}' access.log | sort | uniq -c | sort -fr

此命令行首先解析出浏览器域,然后使用管道将输出作为第一个 sort 命令的输入。第一个 sort 命令主要是为了方便 uniq 命令统计出不同浏览器出现的次数。最后一个 sort 命令将把之前的统计结果倒序排列并输出。

发现系统存在的问题

我们可以使用下面的命令行,统计服务器返回的状态码,发现系统可能存在的问题。

awk '{print $9}' access.log | sort | uniq -c | sort

正常情况下,状态码 200 或 30x 应该是出现次数最多的。40x 一般表示客户端访问问题。50x 一般表示服务器端问题。
下面是一些常见的状态码:

  • 200 - 请求已成功,请求所希望的响应头或数据体将随此响应返回。
  • 206 - 服务器已经成功处理了部分 GET 请求
  • 301 - 被请求的资源已永久移动到新位置
  • 302 - 请求的资源现在临时从不同的 URI 响应请求
  • 400 - 错误的请求。当前请求无法被服务器理解
  • 401 - 请求未授权,当前请求需要用户验证。
  • 403 - 禁止访问。服务器已经理解请求,但是拒绝执行它。
  • 404 - 文件不存在,资源在服务器上未被发现。
  • 500 - 服务器遇到了一个未曾预料的状况,导致了它无法完成对请求的处理。
  • 503 - 由于临时的服务器维护或者过载,服务器当前无法处理请求。

HTTP 协议状态码定义可以参阅:
https://www.w3.org/Protocols/rfc2616/rfc2616.html

状态码相关统计

查找并显示所有状态码为 404 的请求

awk '($9 ~ /404/)' access.log

统计所有状态码为 404 的请求

awk '($9 ~ /404/)' access.log | awk '{print $9,$7}' | sort

现在我们假设某个请求 ( 例如 : URI: /path/to/notfound ) 产生了大量的 404 错误,我们可以通过下面的命令找到这个请求是来自于哪一个引用页,和来自于什么浏览器。

awk -F\" '($2 ~ "^GET /path/to/notfound "){print $4,$6}' access.log

追查谁在盗链网站图片

有时候会发现其他网站出于某种原因,在他们的网站上使用保存在自己网站上的图片。如果您想知道究竟是谁未经授权使用自己网站上的图片,我们可以使用下面的命令:

awk -F\" '($2 ~ /\.(jpg|gif|png)/ && $4 !~ /^http:\/\/www\.example\.com/)\ 
{print $4}' access.log \ | sort | uniq -c | sort

注意:使用前,将 www.example.com 修改为自己网站的域名。

  • 使用 ” 分解每一行;
  • 请求行中必须包括 “.jpg” 、”.gif” 或 ”.png”;
  • 引用页不是以您的网站域名字符串开始( 在此例中,即 www.example.com );
  • 显示出所有引用页,并统计出现的次数。

IP相关统计

统计共有多少个不同的 IP 访问:

awk '{print $1}' access.log |sort|uniq|wc – l

统计每一个 IP 访问了多少个页面:

awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file

将每个 IP 访问的页面数进行从小到大排序:

awk '{++S[$1]} END {for (a in S) print S[a],a}' log_file | sort -n

统计 2018 年 8 月 31 日 14 时内有多少 IP 访问 :

awk '{print $4,$1}' access.log | grep 31/Aug/2018:14 | awk '{print $2}'| sort | uniq | wc -l

统计访问最多的前十个 IP 地址

awk '{print $1}' access.log |sort|uniq -c|sort -nr |head -10

查看某一个 IP访问了哪些页面:

grep ^202.106.19.100 access.log | awk '{print $1,$7}'

统计某个 IP 的详细访问情况,按访问频率排序

grep '202.106.19.100' access.log |awk '{print $7}'|sort |uniq -c |sort -rn |head -n 100

响应页面大小相关统计

列出传输大小最大的几个文件

cat access.log |awk '{print $10 " " $1 " " $4 " " $7}'|sort -nr|head -100

列出输出大于 204800 byte ( 200kb) 的页面以及对应页面发生次数

cat access.log |awk '($10 > 200000){print $7}'|sort -n|uniq -c|sort -nr|head -100

列出访问最频的页面(TOP100)

awk '{print $7}' access.log | sort |uniq -c | sort -rn | head -n 100

列出访问最频的页面([排除php页面】(TOP100)

grep -v ".php"  access.log | awk '{print $7}' | sort |uniq -c | sort -rn | head -n 100          

列出页面访问次数超过100次的页面

cat access.log | cut -d ' ' -f 7 | sort |uniq -c | awk '{if ($1 > 100) print $0}' | less

列出最近1000条记录,访问量最高的页面

tail -1000 access.log |awk '{print $7}'|sort|uniq -c|sort -nr|less

PV 相关统计

统计每分钟的请求数,top100的时间点(精确到分钟)

awk '{print $4}' access.log |cut -c 14-18|sort|uniq -c|sort -nr|head -n 100

统计每小时的请求数,top100的时间点(精确到小时)

awk '{print $4}' access.log |cut -c 14-15|sort|uniq -c|sort -nr|head -n 100

统计每秒的请求数,top100的时间点(精确到秒)

awk '{print $4}' access.log |cut -c 14-21|sort|uniq -c|sort -nr|head -n 100

统计当天的 pv

grep "10/May/2018" access.log | wc -l

说明:

  • awk ‘{ print $1}’:取数据的低1域(第1列)
  • sort:对IP部分进行排序。
  • uniq -c:打印每一重复行出现的次数。(并去掉重复行)
  • sort -nr -k1:按照重复行出现的次序倒序排列,-k1以第一列为标准排序。
  • head -n 10:取排在前10位的IP

页面响应时间相关统计

可以使用下面的命令统计出所有响应时间超过 3 秒的日志记录。

awk '($NF > 1){print $11}' access.log
cat access.log|awk '($NF > 3){print $7}'

注意:NF 是当前记录中域的个数。$NF 即最后一个域。

列出php页面请求时间超过3秒的页面,并统计其出现的次数,显示前100条

cat access.log|awk '($NF > 1 &&  $7~/\.php/){print $7}'|sort -n|uniq -c|sort -nr|head -100

列出相应时间超过 5 秒的请求,显示前20条

awk '($NF > 1){print $11}' access.log | awk -F\" '{print $2}' |sort -n| uniq -c|sort -nr|head -20

蜘蛛抓取统计

统计蜘蛛抓取次数

grep 'Baiduspider' access.log |wc -l

统计蜘蛛抓取404的次数

grep 'Baiduspider' access.log |grep '404' | wc -l

小结

通过本文的介绍,我相信同学们一定会发现 linux三剑客强大之处。在命令行中,它还能够接受,和执行外部的 AWK 程序文件,可以对文本信息进行非常复杂的处理,可以说“只有想不到的,没有它做不到的”。

2018-09-11 23:08:33 qq_36119192 阅读数 1202
  • Linux系统网络配置

    1.从0开始能成功搭建大数据平台 2.各个技术组件从版本选择、兼容性、下载、安装、配置和测试运行,都会一一讲解到位,不会出现跳讲和断讲 3.各个技术组件使用较新版本,如JDK1.8、CDH5.10、Spark2.3.0

    11032课时 0分钟 238人学习 杨俊
    免费试看

目录

日志的作用、分类、管理、轮转和级别

rsyslog服务

Journal守护进程

/var/log下相关的日志文件

日志服务器的建立


日志的作用、分类、管理、轮转和级别

日志的作用:

  • 用于记录系统、程序运行中发生的各种事件
  • 通过阅读日志,有助于诊断,解决系统故障

日志文件的分类:

  • 内核及系统日志:由系统服务 rsyslog 统一管理,日志格式相似
  • 用户日志:记录系统用户登录及退出系统的相关信息
  • 程序日志:由各种应用程序独立管理的日志文件,格式不统一

日志管理策略
日志也并不是完全可靠的,高级的黑客在入侵系统后,会删除相应的日志记录,因此需要做好日志的管理工作:

  • 日志的备份和归档
  • 延长日志的保存期限
  • 控制日志的访问权限
  • 集中管理日志。比如,将服务器的日志文件发送到统一到日志文件服务器,这样便于日志信息的统一收集、整理和分析,还可以杜绝日志信息的意外丢失、恶意修改和删除

日志的轮转和切割
随着时间的推移,日志文件肯定会越来越大,而且这个趋势是呈线性增长。所以,需要对之前的日志文件做一些处理。日志轮转和切割指的是实现对当前日志归档,开始新的日志,删除早期的日志。Linux中,日志轮转和切割这个服务是由 logrotate 提供的。logrotate这个程序的目录:/etc/cron.daily/logrotate  。logrotate 是作为 corn 的一个每日任务,周期性执行的。它具备自动轮转、压缩、搬迁 和 邮件通知到日志系统的多项功能。每一个日志文件都可以按照每天、每周、每月周期性处理,或是增长到多大而触发处理。

日志消息的级别

日志消息的级别
level等级 状况
0 EMERG(紧急) 会导致主机系统不可用的情况
1 ALERT (警告) 必须马上采取措施解决的情况
2 CRIT (严重) 比较严重的情况
3 ERR (错误) 运行出现错误
4 WARNING (提醒) 可能会影响系统功能的事件
5 NOTICE (注意) 不会影响系统但值得注意
6 INFO (注意) 一般信息
7 DEBUG(调试) 程序或系统调试信息等

rsyslog服务

rsyslog服务是由 rsyslogd 程序提供的。rsyslogd 程序负责收集和管理与系统有关的日志

  • 程序目录:/sbin/rsyslogd  
  • rsyslogd配置文件所在目录:/etc/rsyslog.conf 
  • rsyslogd相关文件:/etc/sysconfig/rsyslog  
  • 和日志轮转(切割)相关文件:/etc/logrotate.d/syslog

系统中的程序,在收集日志的时候,都是调用 syslog() 函数,这个函数的作用是发送日志消息给系统的 logger,然后由logger 根据 rsyslogd 程序的配置文件 /etc/rsyslog.conf 中的规则,将日志消息按照不同的格式写入不同的文件中。

syslog() 函数内部有不同的设备,不同的程序有可能对应相同的设备,也有可能对应不同的设备。通过 man  3  syslog  可查看syslog中的不同设备和不同预警级别。程序所对应的设备大部分不可修改,都已经编译好。但是有的程序的配置文件中允许修改设备。比如sshd程序,在其配置文件 /etc/ssh/sshd_config 中可修改设备。LOCAL0 ~ LOCAL6 是自定义设备。不建议修改程序所对应的默认设备。程序所对应的设备这个不是我们所关心的,是开发者已经配置好的。

rsyslogd 中有不同的规则,指定了不同的设备的不同预警级别对应的不同文件。logger 就是根据  rsyslogd 中的规则进行日志写入。rsyslogd 中的规则我们自己可以定义修改增加。所以如果我们关闭 rsyslogd 程序的话,logger就不知道该将日志文件写入哪里,所以就会产生错误。 

一些程序所对应的设备
程序 Program 设备 Facility
/usr/sbin/sshd LOG_AUTHPRIV
/usr/bin/su LOG_AUTHPRIV
/usr/bin/login LOG_AUTHPRIV
/usr/sbin/vsftpd LOG_FTP
/usr/bin/at LOG_CRON
/usr/sbin/crond LOG_CRON
/usr/sbin/portfix LOG_MAIL
rsyslogd的配置文件 /etc/rsyslog.conf 中的一些规则
设备 Facility 和 级别 对应的文件
*.info; mail.none; authpriv.none; cron.none (任何设备的这些级别) /var/log/messages
authpriv.*  (authpriv设备的所有级别) /var/log/secure
mail.* (mail设备的所有级别) -/var/log/maillog
cron.*  (cron设备的所有级别) /var/log/cron
*.emery (所有设备的emery级别) :omusrmsg:*   (打印到终端)
local0.*   ~  local6.* 自己可定义文件

但是像我们很多自己的应用,不是由 rsyslogd进程收集和管理日志,因为他们不调用 syslog()函数。比如apache、nginx、mysql、httpd 都有自己的日志进程负责收集和管理日志。
日志文件默认都是保存在 /var/log/ 目录下。

常见的日志文件目录
名称 路径
内核、公共消息日志、系统主日志文件 /var/log/messages
用户登录日志 /var/log/secure 
计划任务日志 /var/log/cron
跟yum安装有关 /var/log/yum.log
系统引导日志 /var/log/dmesg
邮件系统日志,跟postfix有关 /var/log/maillog
当前登录的用户,二进制文件,可用 last 查看 /var/log/wtmp
最近登录的用户 , 二进制文件  ,可用 lastb 查看 /var/log/btmp
所有用户的登录情况,二进制文件,可用 lastlog 查看 /var/log/lastlog

这个是  /var/log/secure 里的登录日志 ,第一行说明root用户登录xie登录成功。第二三行说明xie用户想登录bob用户然后认证失败了,也就是密码错误。第四行说明xie用户退出登录了。

 grep 'Fail' /var/log/secure | awk '{print $11}' | sort |uniq -c | sort -k1 -n -r | head -5     查看登录失败的那一行,然后打印出第11列(从后数), 然后排序,然后去除重复,然后按第一列排序 ,然后查看前五个

Journal守护进程

在Rhel7中,syslog 消息除了由 rsyslog 服务处理外,还新加了一个 journal 监听,日志文件在 /run/log/journal 目录中。
systemd-journald 守护进程提供了一个改进的日志管理服务。在使用其它工具时,日志往往被分散在整套系统当中,由不同的守护进程及进程负责处理,这意味着我们很难跨越多种应用程序对其内容进行解读。而 systemd 尝试提供一套集中化管理方案,从而统一打理全部内核及用户级进程的日志信息,这也就是我们journal。这套系统能够收集并管理日志内容,它从内核中收集消息:启动过程的早期阶段、标准输出和守护进程的错误。当它们启动和运行时,以及 syslog ,它将这些消息写入到结构化的事件日志。syslog消息也由 systemd-journald 转发到 rsyslog 服务,然后按类型(或设备)和优先级对消息进行排序,并将他们写入到 /var/log/ 日志目录中的持久文件中。

但是,我们的 /run/log/journal 目录下的日志信息并不能直接查看,该文件是二进制文件,需要借助命令查看

journal日志的查看

  • journalctl                                   显示所有的日志信息
  • journalctl  -n  10                        显示最近10条的日志信息
  • journalctl  -u   nginx.service       查看nginx服务的日志自信息
  • journalctl  _PID=1234                查看PID进程为1234的日志信息
  • journalctl  _UID=0                     查看UDI为0的用户的日志信息
  • journalctl  /usr/bin/bash             查看指定路径可执行文件的日志信息
  • journalctl  --since  today            查看今天以来的日志的信息

/var/log下相关的日志文件

  • /var/log/message:几乎所有的开机系统发生的错误都会在此记录;
  • /var/log/secure:记录登录系统存取数据的文件,例如:ssh、pop3、telnet,ftp等都会记录在此.。
  • /var/log/wtmp:记录ssh登录成功的记录,二进制文件
  • /var/log/btmp:记录ssh登录失败的记录,二进制文件
  • /var/log/lastlog 记录每个用户最后的登录信息;
  • /var/log/boot.log:记录一些开机或者关机启动的一些服务显示的启动或者关闭的信息;
  • /var/log/maillog:记录邮件的存取和往来;
  • /var/log/cron:用来记录crontab定时任务的记录;
  • /var/log/httpd:http服务的记录
  •   /var/log/audit:包含被 Linux audit daemon储存的信息
  • /var/log/dmesg:内核日志;
  • /var/log/cpus: CPU的处理信息;
  • /var/log/anaconda.log:在安装Linux时,所有的安装信息记录
  • /var/log/syslog: 事件记录监控程序日志;
  • /var/log/auth.log: 用户认证日志;
  • /var/log/daemon.log: 系统进程日志;
  • /var/log/mail.err :邮件错误信息;
  • /var/log/mail.info: 邮件信息;
  • /var/log/mail.warn: 邮件警告信息;
  • /var/log/daemon.log: 系统监控程序产生的信息;
  • /var/log/kern: 内核产生的信息;
  • /var/log/lpr :  行打印机假脱机系统产生的信息;
  • /var/log/sa:包含每日由sysstat软件包收集的sar文件。
  • /var/log/yum.log:使用yum安装的软件包的记录

日志服务器的建立

文章:建立日志服务器

2020-05-19 09:59:17 sinat_31711799 阅读数 122
  • Linux系统网络配置

    1.从0开始能成功搭建大数据平台 2.各个技术组件从版本选择、兼容性、下载、安装、配置和测试运行,都会一一讲解到位,不会出现跳讲和断讲 3.各个技术组件使用较新版本,如JDK1.8、CDH5.10、Spark2.3.0

    11032课时 0分钟 238人学习 杨俊
    免费试看

linux部署springboot项目后如何输出日志到指定位置

第一步:将打包好的jar文件上传linux服务器的指定目录

第二部:启动jar文件,指定输出文件(必须是拥有执行权限的用户)

nohup java -jar abbc.jar > consoleMsg.log 2>&1 &

上面的2 和 1 的意思如下:
0 标准输入(一般是键盘)
1 标准输出(一般是显示屏,是用户终端控制台)
2 标准错误(错误信息输出)

查看项目运行日志:

tail -f -n 10  consoleMsg.log 

打印日志,并且持续跟踪日志。

Linux系统日志级别

阅读数 14847