Los registros son extremadamente útiles para solucionar problemas del sistema, la aplicación o la red. La información capturada en los archivos de registro también se puede analizar para descubrir patrones que pueden ayudarlo a tomar decisiones informadas como administrador del sistema.
Esta guía explica brevemente cómo puede ver archivos de registro estándar en servidores Ubuntu Linux.
Comandos importantes para trabajar con archivos de registro
En los servidores Ubuntu Linux, los registros normalmente se almacenan en formato de texto sin formato. Por lo tanto, es importante que conozca los siguientes comandos básicos de Linux para moverse por el sistema de archivos y trabajar con archivos de texto a través de la terminal de Ubuntu.
cd – cambiar directorio
ls – mostrar el contenido de un directorio
cp – copiar archivos o carpetas
MV – renombrar/mover archivos o carpetas
nano – editor de texto basado en consola
menos – ver el contenido de un archivo de texto una página a la vez
cabeza – mostrar las primeras 10 líneas de un archivo de texto
cola – ver las últimas 10 líneas de un archivo de texto
grep – buscar palabras clave específicas en un archivo de texto o datos de salida
Ubicación de archivos de registro en servidores Ubuntu
Básicamente, los archivos de registro se almacenan en /var/log directorio en servidores Ubuntu. Ejecute el siguiente comando para cambiar el directorio a /var/log.
$ cd /var/log
Ahora, puede enumerar el contenido de /var/log de la siguiente manera.
$ ls
Como se ve en la figura 1 a continuación, el directorio /var/log contiene varios archivos de registro que se pueden clasificar en términos generales en registros del sistema y registros de la aplicación.
Figura 1:lista de archivos de registro en el servidor de Ubuntu
Registros del sistema
Los registros del sistema contienen información sobre el funcionamiento del sistema Ubuntu; incluidos los registros de autorización, los registros del núcleo, el búfer de anillo del núcleo y los eventos generales del sistema.
Registros de autorización
Los registros de autorización se almacenan en /var/log/auth.log . Aquí es donde encontrará información sobre los intentos de autorización de usuarios; incluido el uso del comando sudo.
Puede ejecutar el siguiente comando para inspeccionar el contenido del archivo auth.log.
$ sudo less /var/log/auth.log
Nota: Pulsa la barra espaciadora de tu teclado para desplazarte de una página a otra. Presiona q para salir.
También puede usar el comando grep para filtrar la información en los registros. Aquí hay un ejemplo.
$ sudo less /var/log/auth.log | grep olu
La información en el resultado de muestra a continuación indica que hubo un inicio de sesión remoto exitoso en mi servidor Ubuntu a través de ssh por parte del usuario olu.
| 1 de febrero 15:44:24 Ubuntu sshd[1594]:clave pública aceptada para olu desde 105.0.0.100 puerto 35233 ssh2:RSA SHA256:B3zi4x3gdF89wm0GZw+fsAkhckLEsx8fJ0GJiU80CXH
1 de febrero 15:44:24 Ubuntu sshd[1594]:pam_unix(sshd:session):sesión abierta para el usuario olu por (uid=0)
1 de febrero 15:44:24 Ubuntu systemd-logind[747]:Nueva sesión 2 del usuario olu.
1 de febrero 15:44:24 Ubuntu systemd:pam_unix(systemd-user:session):sesión abierta para el usuario olu por (uid=0) |
Registros del núcleo
Los registros del kernel se guardan en /var/log/kern.log . Esta información es útil para solucionar errores del kernel. El kernel controla todo en el sistema operativo; incluida la gestión de procesos, la gestión de memoria y la gestión de dispositivos.
Use el siguiente comando para mostrar el contenido del archivo kern.log una página a la vez.
$ sudo less /var/log/kern.log
O intente esto para mostrar las primeras 10 líneas del archivo kern.log.
$ sudo head /var/log/kern.log
Encuentre información específica en kern.log.
$ grep memory /var/log/kern.log
Búfer de anillo del núcleo
El búfer de anillo del núcleo contiene información de hardware del núcleo. La información se registra en /var/log/dmesg y se puede mostrar usando dmesg dominio. Esta información incluye todos los dispositivos detectados en el momento del arranque del sistema.
Puede usar esto para solucionar problemas con los componentes de hardware del servidor. Ejecute el siguiente comando para ver todo el contenido del búfer de anillo del kernel.
$ dmesg
Pruebe el siguiente comando para mostrar las últimas 10 líneas del búfer de anillo del kernel.
$ dmesg | tail
O filtre por palabras clave específicas utilizando grep.
$ dmesg | grep cpu
Registros generales del sistema
Aquí, vamos a hablar sobre syslog y diarioctl
Registro del sistema
Syslog es un mecanismo de registro que almacena eventos generales del sistema en /var/log/syslog . La información almacenada aquí puede incluir eventos que quizás no encuentre en otros archivos de registro.
Ejecute el siguiente comando para mostrar el contenido del archivo syslog página por página.
$ sudo less /var/log/syslog
También puede buscar palabras clave específicas utilizando grep comando de la siguiente manera.
$ sudo grep failed /var/log/syslog
Diarioctl
El comando journalctl simplifica el proceso de examinar los registros del servidor. En lugar de buscar en archivos de registro individuales, puede usar journalctl para buscar y filtrar rápidamente la información que necesita.
El siguiente comando muestra todas las entradas de registro desde la más antigua hasta la más reciente.
$ journalctl
El siguiente comando muestra mensajes de advertencia.
$ journalctl -p warning
Puede mostrar solo los mensajes del kernel de la siguiente manera.
$ journalctl --dmesg
Puede buscar palabras clave específicas combinando grep comando y ver los resultados página por página usando menos .
$ journalctl | grep ssh | less
Ver información de registro desde una fecha específica.
$ journalctl --since=2021-02-01
O ver información de registro desde un momento específico.
$ journalctl --since=12:00
También puede escribir journalctl y luego presione la tecla de tabulación en su teclado para ver las opciones disponibles.
Registros de aplicaciones
Varias aplicaciones almacenan información de registro en /var/log . Por ejemplo, en la figura 1 anterior, el clamav El directorio contiene archivos de registro relacionados con la aplicación antimalware ClamAV.
Estos son algunos ejemplos de aplicaciones o servicios populares y dónde se almacena su información de registro.
Apache web server logs - /var/log/apache2
NGINX web server logs - /var/log/nginx
Printing system (CUPS) logs - /var/log/cups
Otros registros útiles
Algunos archivos de registro como lastlog , wtmp no puede ser leído directamente por humanos. La siguiente es una breve explicación de qué tipo de información contienen estos archivos y cómo puede verlos.
último registro
La información contenida en /var/log/lastlog se refiere a los usuarios y su inicio de sesión más reciente en el servidor Ubuntu. Tendrías que usar el lastlog comando para acceder a él de la siguiente manera.
$ lastlog
wtmp
El var/log/wtmp El archivo contiene registros completos de inicio de sesión.
Ejecute el último Comando para mostrar una lista de los últimos usuarios que iniciaron sesión. También puede ver información sobre el arranque/reinicio del sistema.
$ last
Ejecute el quién Comando para ver quién está conectado actualmente.
$ who
La w El comando le muestra quién está conectado actualmente y qué está haciendo en el servidor de Ubuntu.
$ w
Conclusión
En esta guía, hemos cubierto brevemente cómo ver archivos de registro estándar en servidores Ubuntu. Esta no es una lista exhaustiva, pero esperamos que le dé una idea de dónde buscar.