linux查看日志命令

linux查看日志命令：

tail：

-n是显示行号；相当于nl命令；例子如下：

tail -100f test.log实时监控100行日志。

tail -n 10 test.log查询日志尾部最后10行的日志。

tail -n +10 test.log查询10行之后的所有日志。

head：

跟tail是相反的，tail是看后多少行日志；例子如下：

head -n 10 test.log查询日志文件中的头10行日志。

head -n -10 test.log查询日志文件除了最后10行的其他所有日志。

cat：

tac是倒序查看，是cat单词反写；例子如下：

cat -n test.log |grep "debug"查询关键字的日志。

命令功能：

tail用于显示指定文件末尾内容，不指定文件时，作为输入信息进行处理。常用于查看日志文件后多少行日志信息。

使用tail -f可以查看动态日志文件，tail -f filename可以把filename里最尾部的内容显示在屏幕上，并且不断刷新，使你看到最新的文件内容。

tail -n行数可以显示指定行数信息。

Zabbix Advance - Linux log monitor 日志监控（/var/log/messages,/var/log/secure,其它程序日志皆可） 原创

2020-09-11 10:43:40

2点赞

Fei-Huang

码龄12年

关注

文章目录

日志监控原理

本文档示例版本与官方使用文档

配置过程

一，被监控的主机上配置zabbix_agentd.conf

二，修改日志文件的权限

修改前日志文件的权限：

修改日志文件的权限

查看修改后的文件权限

三，配置zabbix web item页面(监控root用户登陆)

root用户登陆测试

配置告警（trigger）

最终配置

再次测试root登陆

日志监控原理

zabbix 监控日志，主要是用于监控日志中的关键字，遇到关键字后，zabbix agent 将日志发送给server。日志监控必需是agent active的监控项目

本文档示例版本与官方使用文档

官方文档链接

配置过程

一，被监控的主机上配置zabbix_agentd.conf

[root@GuangGu_Zabbix_proxy ~]# egrep -v "#|^$" /etc/zabbix/zabbix_agent2.conf

PidFile=/var/run/zabbix/zabbix_agent2.pid

LogFile=/var/log/zabbix/zabbix_agent2.log

LogFileSize=0

Server=X.X.X.X

ServerActive=X.X.X.X

Hostname=Zabbix_lOG

Include=/etc/zabbix/zabbix_agent2.d/*.conf

ControlSocket=/tmp/agent.sock

1

2

3

4

5

6

7

8

9

1

2

3

4

5

6

7

8

9

ServerActive=X.X.X.X

Hostname=Zabbix_lOG

以上两个参数配置对日志很重要，agent active 在发送数据给server端时，会将配置文件中的hostname的值做为一个值携带给服务端，zabbix_server收到发送过来的数据后会主动匹配这个值，是否与自己配置的主机的hostname一致，一致即接收数据，放置在数据库中。

二，修改日志文件的权限

通常情况下，/var/log/目录下的系统日志文件只有root用户有相应的读写权限，而zabbix对这些文件需要有读取的权限，否则无法监控，所以在不更改属主属组的情况下，使用==“facl”== 添加文件权限比较合适，以下为示例：

修改前日志文件的权限：

[hostname]# ls -l /var/log/messages

-rw------- 1 root root 138063 Sep 11 08:10 /var/log/messages

1

2

1

2

只有root用户有读写权限，其它的用户均没有权限

修改日志文件的权限

setfacl -m u:zabbix:r-- /var/log/messages

1

1

查看修改后的文件权限

[root@GuangGu_Zabbix_proxy ~]# ls -l /var/log/messages

-rw-r-----+ 1 root root 193670 Sep 11 09:10 /var/log/messages

1

2

1

2

[root@GuangGu_Zabbix_proxy ~]# getfacl /var/log/messages

getfacl: Removing leading '/' from absolute path names

# file: var/log/messages

# owner: root

# group: root

user::rw-

user:zabbix:r--

group::---

mask::r--

other::---

1

2

3

4

5

6

7

8

9

10

11

1

2

3

4

5

6

7

8

9

10

11

user:zabbix:r-- 可以看到zabbix用户有r的权限了

但是这条命令只设置了当前的/var/log/messages的文件的权限，这个日志文件是会随日期滚动的所以还需要设置一下日志滚动后的zabbix用户的权限，此时还需要修改另外一个文件的内容：

[root@hostname~]# vim /etc/logrotate.d/syslog

/var/log/cron

/var/log/maillog

/var/log/messages

/var/log/secure

/var/log/spooler

{

missingok

sharedscripts

postrotate

/bin/kill -HUP `cat /var/run/syslogd.pid 2>/dev/null` 2>/dev/null || true

/usr/bin/setfacl -m u:zabbix:r-- /var/log/messages

endscript

}

1

2

3

4

5

6

7

8

9

10

11

12

13

14

1

2

3

4

5

6

7

8

9

10

11

12

13

14

logrotate 不是守护进程的服务，所以不需要重启

三，配置zabbix web item页面(监控root用户登陆)

key : log[file,<regexp>,<encoding>,<maxlines>,<mode>,<output>,<maxdelay>,<options>]

/var/log/messages 中 root 用户登陆的日志记录如下：

Sep 11 09:30:01 LOGMONITOR systemd: Started Session 6787 of user root.

1

1

几个注意点：

类型必需是“zabbix agent active”的

信息类型必需是“日志”型的

log[/var/log/messages, Started Session .* of user root.$,skip,]

root用户登陆测试

Sep 11 09:44:47 LOGMONITOR systemd-logind: New session 6789 of user root.

Sep 11 09:44:47 LOGMONITOR systemd: Started Session 6789 of user root.

Sep 11 09:44:47 LOGMONITOR systemd: Starting Session 6789 of user root.

1

2

3

1

2

3

以上三条是登陆产生的日志

查看zabbix监控的消息记录

点击“历史记录查看”

zabbix已经收到相关日志

配置告警（trigger）

配置告警思路：

只要zabbix收到相应条目的日志一次，就触发一次告警

收到告警后，如果60s内没有再次触发告警就消失

最终配置

再次测试root登陆

此告警60S后消失

文章知识点与官方知识档案匹配

CS入门技能树Linux入门初识Linux

24650 人正在系统学习中

打开CSDN APP，看更多技术内容

zabbix监控Linux进程方法_lihuaichen的博客

利用zabbixproc.num方法监控Linux服务进程 proc.num[<name>,<user>,<state>,<cmdline>] 监控用户某些状态的进程的数量 name- 进程名称 (默认“all processes”)user- 用户名 (默认 “all users”)state- 可用值:all(默认),run,sl...

继续访问

zabbix监控远程linux服务器基础 *** 作_今天摘太阳的博客_linu...

查看添加的监控主机的最新数据是否监控到数据。4. 通过web页面配置linux监控,添加监控主机及套用模板设置。 zabbix监控Linux流程 m0_52091913的博客 312 zabbix监控Linux流程,邮件警告 远程监控 linux服务器软件,如何从Web浏览器远程监控...

继续访问

log_monitor日志监控

对qps以及接口的平均耗时进行统计 特点 (1)轻量: 共219KB(代码量约300行), 无需安装,解压即可使用 (2)低侵入: 基于日志文件进行统计,无需修改原程序 使用说明 (1) 二进制包:下载工具包 log_monitor.tar.gz,并解压 (2) 源码编译:make 之后进行参数配置,可以拷贝现有的,各个参数说明如下: log_file=/data/nginx_logs/access.log log_reg=

(.∗)\+0800

(.∗)\+0800

time_format=%d/%b/%Y:%H:%M:%S retain_seconds=3600 http_port=3344 log_level=INFO log_file: 需要监控的日志的路径 log_reg: 需要匹配的日期以及耗时信息的正则表达式(需要加括号) time_format: 日志中日期的格式 retain_seconds: 统计数据保留时间 http_port: 用来通过页面展示统计数据的端口 log_level: log monitor的日志级别 启动 ./bin/log_monitor [conf_file_path] 查看 (1) 在控制台就可以看到系统实时的qps以及每一秒中接口的平均耗时情况 (2) 通过浏览器访问 http://${ip}:{http_port}/show.html

Zabbix监控之Linux命令行/Shell脚本解析json

本文主要写了在Linux下如何用Shell脚本解析json数据，以便于在Zabbix中添加适合于业务应用的监控项。为什么要使用json？json作为一种文本化的数据格式（文本化协议），符合UNIX编程的哲学，既符合透明性（透明性：设计可见，便于审查和调试）又符合文本性（文本性：数据应该保存为文本文件）。关键在于json对Web程序或者java程序非常友好，对于开发人员来说，他们也喜欢使用json数...

继续访问

linux启动zabbix服务,zabbix监控Linux系统服务_邓琨腾的博客

Zabbix自动发现规则监控Linux系统的service units 项目要求:通过systemctl命令查看Linux系统的service units监控前提:zabbix环境已搭建好监控原理:通过shell脚本把systemctl命令返回的结果以json格式发送到zabbix...

继续访问

zabbix自动监控linux进程,zabbix远程命令-监控进程停掉后自动重启应用...

6.在验证远程命令的可用性之后,在zabbix前端页面添加监控项,设置触发器,并添加执行远程命令的动作。 7.添加监控项: 自定义名称,类型为zabbix客户端,键值为proc.num[,,,httpd],其他自定义,点击添加。

继续访问

zabbix监控日志

zabbix监控日志

继续访问

linux的数据清洗视频,Zabbix监控历史数据清理

Zabbix监控运行一段时间以后，会留下大量的历史监控数据，Zabbix数据库一直在增大；可能会造成系统性能下降，查看历史数据室查询速度缓慢。Zabbix里面最大的表就是history和history_uint两个表，而且zabbix里面的时间是使用的时间戳方式记录，所以可以根据时间戳来删除历史数据一、关闭zabbix、http服务pkill -9 zabbixservice httpd stop...

继续访问

zabbix3.4监控linux磁盘使用率_一文看懂Linux全能型监控命令--dstat...

在linux上有top、free、iostat、vmstat、netstat等诸多监控系统各项性能的工具,如top,可以实时监控到系统负载、内存等使用情况,iostat能监控系统I/O情况,而vmstat可以得到关于进程、内存、内存分页、堵塞IO、traps及CPU活动的信息。不过今天主...

继续访问

Zabbix监控Linux进程方法

利用zabbix proc.num方法监控Linux服务进程 proc.num[<name>,<user>,<state>,<cmdline>] 监控用户某些状态的进程的数量 name - 进程名称 (默认“all processes”) user - 用户名 (默认 “all users”) state - 可用值: all (默认), run,sleep, zomb cmdline - 命令行过滤(正则表达时) 一、首先新建一个模板，在监控项条目中新

继续访问

关于/var/log/messages文件

/var 包括系统运行时要改变的数据。其中包括每个系统是特定的，即不能够与其他计算机共享的目录，如/var/log，/var/lock，/var/run。有些目录还是可以与其他系统共享，如/var/mail, /var/cache/man, /var/cache/fonts,/var/spool/news。var目录存在的目的是把usr目录在运行过程中需要更改的文件或者临时生成的文件及目录提取出来

继续访问

@Zabbix常用的监控命令及监控分析

文章目录一、面试技巧1.面试常问二、单机监控命令1.CPU 监控命令2.内存监控命令3.磁盘监控命令4.网络监控命令5.TCP11种状态监控命令6.生产场景需求7.系统的oom(out of memory)8.使用脚本监控nginx三、zabbix数据库拆分1.环境准备2.导出原MySQL中的zabbix数据3.准备新的数据库环境4.关闭原来的数据库测试5.修改连接数据库代码 一、面试技巧 1.面试常问 #1.面试官：你们公司监控是如何做的？ 你：用zabbix 面试官：.... #2.面试技

继续访问

最新发布 zabbix日志监控： *** 作系统、业务系统、文件大小、多行日志

(一)监控 *** 作系统日志 (二)监控业务系统日志 (三)监控日志文件大小 (四)多行日志监控- Python脚本优化

继续访问

zabbix 时间错误_使用Zabbix来监控系统日志

在Linux系统上，日志文件通常可以分为四类：System Logs(系统日志)Event Logs(事件日志)Application Logs(应用程序日志)Service Logs(服务日志)一、为什么要监控日志？Linux为了跟踪和监视系统(内核)各个组件及应用程序运行状态而将产生的相关事件存储到日志文件中，当系统或者应用程序出现问题时，系统管理员能根据日志定位到问题。而通过监控Linux的...

继续访问

【Docker学习】13、使用 Docker/Docker-Compose 部署 Prometheus 监控组件

文章目录1、Prometheus 监控组件（1）Prometheus 监控 Linux（2）Prometheus 监控 Docker（3）Prometheus 监控 MySQL 1、Prometheus 监控组件 从上面的构建可以发现，现在已经可以监控当前Linux主机了，实际上能监控的内容很多，可以在官网查看，监控内容或社区查找 搭建各种组件的监控，首先需要找到提供数据的数据源，当然，Prometheus已经给我们写好了配置，我们只需要在找到对应的配置进行安装即可，Prometheus GitHub，例如

继续访问

Linux从入门到放弃 zabbix常见的linux监控命令

cpu top htop uptime vmstat 内存 free 磁盘 df iotop 网卡 iftop nethogs 系统进程 ps pstree

继续访问

zabix监控linux进程名称,zabbix监控Linux进程方法

利用zabbixproc.num方法监控Linux服务进程proc.num[,,,]监控用户某些状态的进程的数量name- 进程名称 (默认“all processes”)user- 用户名 (默认 “all users”)state- 可用值:all(默认),run,sleep,zombcmdline-命令行过滤(正则表达时)具体监控某一服务进程的方法一、首先新建一个模板，在监控项条目中新建一...

继续访问

zabbix监控Linux流程

zabbix监控Linux流程，邮件警告

继续访问

zabbix监控linux文件目录,zabbix之日志文件监控

一、日志item介绍下面介绍zabbix另一个“重量级”的功能——日志文件监控，它最主要的是监控日志文件中有没有某个字符串的表达式，对应日志轮转与否，zabbix都支持。在配置Item的时候，Type选择Zabbix agent (active)，这里主要需要配置的是Key。下面是监控日志的两种key——log和logtr。log[/path/to/some/file,,,,,]logtr[/pa...

继续访问

监控linux日志,Zabbix日志监控：Linux异常登录告警

本文利用zabbix的日志监控功能监控Linux的secure日志，当有用户登录失败或者用户在非常规时间登录成功时发出告警。这里我们使用zabbix提供的'log[file,,,,,]'来监控Linux的/var/log/secure文件。先介绍下这个log监控项：1)监控项类型是Zabbix agent (active)，返回数据类型是Log。2)Zabbix agent要对监控的日志文件有可读...

继续访问

Zabbix监控日志

创建监控项 创建触发器 验证 问题定位 创建监控项 注意要选择客户端主动式，使用主动式的时候无法使用zabbix-get工具调试 键值示例：log[/home/moa/log/smapd/smapd.log,”info”,,,skip,,] 说明：1、/home/moa/log/smapd/smapd.log表示日志路径 2、”info”表示匹配的关键字...

继续访问

zabbix监控日志关键字（ERROR）

前言：对我我这种刚入职场不久的小运维来说其实这个对我来说真的挺难得，研究了好久也在朋友的帮助下终于成功了，在此多谢我的朋友（倪伟）。 公司没有zabbix监控，领导让搭建一套zabbix然后让监控错误日志（关键字error），其实据说牛掰的大神可以监控到具体报错信息是什么，如有大神能编写出来欢迎指教。 因为就是想让他提醒一次就不在提醒了，所以脚本我写了半天(不擅长啊） 我zabbix搭建的过...

继续访问

热门推荐 Linux实时查看文件/var/log/messages以及这个文件的问题

耐心看完说不定有你遇到的问题 1./var/log/messages 首先说一下这个文件的存在,在Ubuntu系统中,这个文件你访问可能提示找不到这个文件 //使用tail命令访问 name@name:~$ sudo tail /var/log/messages tail:无法打开'/var/log/messages' 读取数据: 没有那个文件或目录 tail:没有剩余文件 可能会出现...

继续访问

Zabbix使用总结

1. CentOS 7上启动zabbix-server失败，/var/log/messages中的报错信息如下： Feb 22 12:56:43 mysql-server1 systemd: Starting Zabbix Server with MySQL DB... Feb 22 12:56:43 mysql-server1 kernel: zabbix_server[1599]: s

继续访问

zabbix监控linux历史命令

zabbix

写评论

评论

3

cat /var/log/*.log如果日志在更新，如何实时查看 tail -f /var/log/messages还可以使用 watch -d -n 1 cat /var/log/messages-d表示高亮不同的地方，-n表示多少秒刷新一次。该指令，不会直接返回命令行，而是实时打印日志文件中新增加的内容，这一特性，对于查看日志是非常有效的。如果想终止输出，按 Ctrl+C 即可。在Linux系统中，有三个主要的日志子系统：连接时间日志--由多个程序执行，把纪录写入到/var/log/wtmp和/var/run/utmp，login等程序更新wtmp和utmp文件，使系统管理员能够跟踪谁在何时登录到系统。进程统计--由系统内核执行。当一个进程终止时，为每个进程往进程统计文件（pacct或acct）中写一个纪录。进程统计的目的是为系统中的基本服务提供命令使用统计。错误日志--由syslogd（8）执行。各种系统守护进程、用户程序和内核通过syslog（3）向文件/var/log/messages报告值得注意的事件。另外有许多UNIX程序创建日志。像HTTP和FTP这样提供网络服务的服务器也保持详细的日志。常用的日志文件如下：access-log 纪录HTTP/web的传输acct/pacct 纪录用户命令aculog 纪录MODEM的活动btmp纪录失败的纪录lastlog纪录最近几次成功登录的事件和最后一次不成功的登录messages从syslog中记录信息（有的链接到syslog文件）系统启动后的信息和错误日志，是Red Hat Linux中最常用的日志之一 sudolog 纪录使用sudo发出的命令sulog 纪录使用su命令的使用syslog 从syslog中记录信息（通常链接到messages文件）utmp纪录当前登录的每个用户wtmp一个用户每次登录进入和退出时间的永久纪录xferlog 纪录FTP会话/var/log/secure与安全相关的日志信息/var/log/maillog 与邮件相关的日志信息 /var/log/cron 与定时任务相关的日志信息 /var/log/spooler 与UUCP和news设备相关的日志信息 /var/log/boot.log 守护进程启动和停止相关的日志消息 utmp、wtmp和lastlog日志文件是多数重用UNIX日志子系统的关键--保持用户登录进入和退出的纪录。有关当前登录用户的信息记录在文件utmp中；登录进入和退出纪录在文件wtmp中；最后一次登录文件可以用lastlog命令察看。数据交换、关机和重起也记录在wtmp文件中。所有的纪录都包含时间戳。这些文件（lastlog通常不大）在具有大量用户的系统中增长十分迅速。例如wtmp文件可以无限增长，除非定期截取。许多系统以一天或者一周为单位把wtmp配置成循环使用。它通常由cron运行的脚本来修改。这些脚本重新命名并循环使用wtmp文件。通常，wtmp在第一天结束后命名为wtmp.1；第二天后wtmp.1变为wtmp.2等等，直到wtmp.7。每次有一个用户登录时，login程序在文件lastlog中察看用户的UID。如果找到了，则把用户上次登录、退出时间和主机名写到标准输出中，然后login程序在lastlog中纪录新的登录时间。在新的lastlog纪录写入后，utmp文件打开并插入用户的utmp纪录。该纪录一直用到用户登录退出时删除。utmp文件被各种命令文件使用，包括who、w、users和finger。下一步，login程序打开文件wtmp附加用户的utmp纪录。当用户登录退出时，具有更新时间戳的同一utmp纪录附加到文件中。wtmp文件被程序last和ac使用。具体命令wtmp和utmp文件都是二进制文件，他们不能被诸如tail命令剪贴或合并（使用cat命令）。用户需要使用who、w、users、last和ac来使用这两个文件包含的信息。who：who命令查询utmp文件并报告当前登录的每个用户。Who的缺省输出包括用户名、终端类型、登录日期及远程主机。例如：who（回车）显示chyang pts/0 Aug 18 15:06ynguo pts/2 Aug 18 15:32ynguo pts/3 Aug 18 13:55lewis pts/4 Aug 18 13:35ynguo pts/7 Aug 18 14:12ylou pts/8 Aug 18 14:15如果指明了wtmp文件名，则who命令查询所有以前的纪录。命令who /var/log/wtmp将报告自从wtmp文件创建或删改以来的每一次登录。w：w命令查询utmp文件并显示当前系统中每个用户和它所运行的进程信息。例如：w（回车）显示：3:36pm up 1 day, 22:34, 6 users, load average: 0.23, 0.29, 0.27。USER TTYFROM LOGIN@ IDLE JCPU PCPUWHATchyang pts/0 202.38.68.2423:06pm 2:04 0.08s 0.04s -bashynguo pts/2 202.38.79.47 3:32pm 0.00s 0.14s 0.05 wlewis pts/3 202.38.64.2331:55pm 30:39 0.27s 0.22s -bashlewis pts/4 202.38.64.2331:35pm 6.00s 4.03s 0.01s sh /home/users/ynguo pts/7 simba.nic.ustc.e 2:12pm 0.00s 0.47s 0.24s telnet mailyloupts/8 202.38.64.2352:15pm 1:09m 0.10s 0.04s-bashusers：users用单独的一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示相同的次数。例如：users（回车）显示：chyang lewis lewis ylou ynguo ynguo 　last：last命令往回搜索wtmp来显示自从文件第一次创建以来登录过的用户。例如：chyang pts/9202.38.68.242 Tue Aug 1 08:34 - 11:23 (02:49)cfanpts/6202.38.64.224 Tue Aug 1 08:33 - 08:48 (00:14)chyang pts/4202.38.68.242 Tue Aug 1 08:32 - 12:13 (03:40)lewis pts/3202.38.64.233 Tue Aug 1 08:06 - 11:09 (03:03)lewis pts/2202.38.64.233 Tue Aug 1 07:56 - 11:09 (03:12)如果指明了用户，那么last只报告该用户的近期活动，例如：last ynguo（回车）显示：ynguopts/4 simba.nic.ustc.e Fri Aug 4 16:50 - 08:20 (15:30)ynguopts/4 simba.nic.ustc.e Thu Aug 3 23:55 - 04:40 (04:44)ynguopts/11 simba.nic.ustc.e Thu Aug 3 20:45 - 22:02 (01:16)ynguopts/0 simba.nic.ustc.e Thu Aug 3 03:17 - 05:42 (02:25)ynguopts/0 simba.nic.ustc.e Wed Aug 2 01:04 - 03:16 1+02:12)ynguopts/0 simba.nic.ustc.e Wed Aug 2 00:43 - 00:54 (00:11)ynguopts/9 simba.nic.ustc.e Thu Aug 1 20:30 - 21:26 (00:55)ac：ac命令根据当前的/var/log/wtmp文件中的登录进入和退出来报告用户连结的时间（小时），如果不使用标志，则报告总的时间。例如：ac（回车）显示：total 5177.47ac -d（回车）显示每天的总的连结时间Aug 12 total 261.87Aug 13 total 351.39Aug 14 total 396.09Aug 15 total 462.63Aug 16 total 270.45Aug 17 total 104.29Today total 179.00ac -p （回车）显示每个用户的总的连接时间ynguo 193.23yucao 3.35rong 133.40hdai 10.52zjzhu 52.87zqzhou 13.14liangliu 24.34total 5178.22lastlog：lastlog文件在每次有用户登录时被查询。可以使用lastlog命令来检查某特定用户上次登录的时间，并格式化输出上次登录日志/var/log/lastlog的内容。它根据UID排序显示登录名、端口号（tty）和上次登录时间。如果一个用户从未登录过，lastlog显示"**Never logged**。注意需要以root运行该命令，例如：rong5 202.38.64.187 Fri Aug 18 15:57:01 +0800 2000dbb **Never logged in**xinchen **Never logged in**pb9511 **Never logged in**xchen 0 202.38.64.190 Sun Aug 13 10:01:22 +0800 2000另外，可一加一些参数，例如，lastlog -u 102将报告UID为102的用户；lastlog -t 7表示限制上一周的报告。

---