Linux Log File Format
In Linux, log files are crucial for diagnosing issues and understanding system activities. The log files are plain text files containing timestamped records of events. The exact format of these logs can vary depending on the application or service generating the logs, but there are some common elements you’ll encounter in many log files.
In this tutorial, we’ll discuss the basic format of Linux log files and explain the key elements.
1. Timestamp
Most log files begin each entry with a timestamp, which indicates when the logged event occurred. The format of the timestamp can vary, but typically, it includes the date and time, such as YYYY-MM-DD HH:MM:SS .
The hostname field displays the name of the machine or server on which the event took place. In a networked environment, it’s essential to know which system the event occurred on.
3. Process or Application Name
The process or application name field indicates the name of the process or application that generated the log entry. This information is useful for diagnosing issues specific to an application or process.
4. Process ID (PID)
The process ID (PID) is a unique identifier assigned to each running process on the system. In log files, the PID is often included within square brackets [] or parentheses () following the process name. This information can help you trace a log entry back to a specific running process.
5. Log Message
The log message is the actual content of the log entry, describing the event or providing details about an error or action. The format and verbosity of the log message can vary depending on the application or service generating the log entry.
Accepted publickey for user1 from 192.168.1.5 port 58306 ssh2
Putting it all together
A typical log file entry might look like this:
2023-05-10 10:32:11 my_server sshd[12345]: Accepted publickey for user1 from 192.168.1.5 port 58306 ssh2
This log entry informs us that on May 10, 2023, at 10:32:11, the sshd process (with PID 12345) on my_server accepted a public key authentication for user1 from the IP address 192.168.1.5 on port 58306.
Understanding the basic format of Linux log files will help you effectively diagnose issues and monitor system activities. Although the format can vary, becoming familiar with these key elements will enable you to read and analyze various log files.
Professional provider of PDF & Microsoft Word and Excel document editing and modifying solutions, available for ASP.NET AJAX, Silverlight, Windows Forms as well as WPF. We are dedicated to provide powerful & profession PDF/Word/Excel controls.
Как посмотреть логи в Linux
Системные администраторы, да и обычные пользователи Linux, часто должны смотреть лог файлы для устранения неполадок. На самом деле, это первое, что должен сделать любой сисадмин при возникновении любой ошибки в системе.
Сама операционная система Linux и работающие приложения генерируют различные типы сообщений, которые регистрируются в различных файлах журналов. В Linux используются специальное программное обеспечение, файлы и директории для хранения лог файлов. Знание в каких файлах находятся логи каких программ поможет вам сэкономить время и быстрее решить проблему. В этой статье мы рассмотрим основные части системы логирования в Linux, файлы логов, а также утилиты, с помощью которых можно посмотреть логи Linux.
Расположение логов по умолчанию
Большинство файлов логов Linux находятся в папке /var/log/ вы можете список файлов логов для вашей системы с помощью команды ls:
Ниже мы рассмотрим 20 различных файлов логов Linux, размещенных в каталоге /var/log/. Некоторые из этих логов встречаются только в определенных дистрибутивах, например, dpkg.log встречается только в системах, основанных на Debian.
- /var/log/messages — содержит глобальные системные логи Linux, в том числе те, которые регистрируются при запуске системы. В этот лог записываются несколько типов сообщений: это почта, cron, различные сервисы, ядро, аутентификация и другие.
- /var/log/dmesg — содержит сообщения, полученные от ядра. Регистрирует много сообщений еще на этапе загрузки, в них отображается информация об аппаратных устройствах, которые инициализируются в процессе загрузки. Можно сказать это еще один лог системы Linux. Количество сообщений в логе ограничено, и когда файл будет переполнен, с каждым новым сообщением старые будут перезаписаны. Вы также можете посмотреть сообщения из этого лога с помощью команды dmseg.
- /var/log/auth.log — содержит информацию об авторизации пользователей в системе, включая пользовательские логины и механизмы аутентификации, которые были использованы.
- /var/log/boot.log — Содержит информацию, которая регистрируется при загрузке системы.
- /var/log/daemon.log — Включает сообщения от различных фоновых демонов
- /var/log/kern.log — Тоже содержит сообщения от ядра, полезны при устранении ошибок пользовательских модулей, встроенных в ядро.
- /var/log/lastlog — Отображает информацию о последней сессии всех пользователей. Это нетекстовый файл, для его просмотра необходимо использовать команду lastlog.
- /var/log/maillog /var/log/mail.log — журналы сервера электронной почты, запущенного в системе.
- /var/log/user.log — Информация из всех журналов на уровне пользователей.
- /var/log/Xorg.x.log — Лог сообщений Х сервера.
- /var/log/alternatives.log — Информация о работе программы update-alternatives. Это символические ссылки на команды или библиотеки по умолчанию.
- /var/log/btmp — лог файл Linux содержит информацию о неудачных попытках входа. Для просмотра файла удобно использовать команду last -f /var/log/btmp
- /var/log/cups — Все сообщения, связанные с печатью и принтерами.
- /var/log/anaconda.log — все сообщения, зарегистрированные при установке сохраняются в этом файле
- /var/log/yum.log — регистрирует всю информацию об установке пакетов с помощью Yum.
- /var/log/cron — Всякий раз когда демон Cron запускает выполнения программы, он записывает отчет и сообщения самой программы в этом файле.
- /var/log/secure — содержит информацию, относящуюся к аутентификации и авторизации. Например, SSHd регистрирует здесь все, в том числе неудачные попытки входа в систему.
- /var/log/wtmp или /var/log/utmp — системные логи Linux, содержат журнал входов пользователей в систему. С помощью команды wtmp вы можете узнать кто и когда вошел в систему.
- /var/log/faillog — лог системы linux, содержит неудачные попытки входа в систему. Используйте команду faillog, чтобы отобразить содержимое этого файла.
- /var/log/mysqld.log — файлы логов Linux от сервера баз данных MySQL.
- /var/log/httpd/ или /var/log/apache2 — лог файлы linux11 веб-сервера Apache. Логи доступа находятся в файле access_log, а ошибок в error_log
- /var/log/lighttpd/ — логи linux веб-сервера lighttpd
- /var/log/conman/ — файлы логов клиента ConMan,
- /var/log/mail/ — в этом каталоге содержатся дополнительные логи почтового сервера
- /var/log/prelink/ — Программа Prelink связывает библиотеки и исполняемые файлы, чтобы ускорить процесс их загрузки. /var/log/prelink/prelink.log содержит информацию о .so файлах, которые были изменены программой.
- /var/log/audit/— Содержит информацию, созданную демоном аудита auditd.
- /var/log/setroubleshoot/ — SE Linux использует демон setroubleshootd (SE Trouble Shoot Daemon) для уведомления о проблемах с безопасностью. В этом журнале находятся сообщения этой программы.
- /var/log/samba/ — содержит информацию и журналы файлового сервера Samba, который используется для подключения к общим папкам Windows.
- /var/log/sa/ — Содержит .cap файлы, собранные пакетом Sysstat.
- /var/log/sssd/ — Используется системным демоном безопасности, который управляет удаленным доступом к каталогам и механизмами аутентификации.
Просмотр логов в Linux
Чтобы посмотреть логи на Linux удобно использовать несколько утилит командной строки Linux. Это может быть любой текстовый редактор, или специальная утилита. Скорее всего, вам понадобятся права суперпользователя для того чтобы посмотреть логи в Linux. Вот команды, которые чаще всего используются для этих целей:
Я не буду останавливаться подробно на каждой из этих команд, поскольку большинство из них уже подробно рассмотрены на нашем сайте. Но приведу несколько примеров. Просмотр логов Linux выполняется очень просто:
Смотрим лог /var/log/dmesg, с возможностью прокрутки:
Can I find all files with the .log extension and order by file size?
I’m using CentOS 6.8 I’d like to know if I can I find all files with the .log extension and order by file size and display the file size next to the filename? I’m currently using this command to find all files with the .log extension:
If any of the existing answers solves your problem, please consider accepting it via the checkmark. Thank you!
5 Answers 5
This seems to work for me:
find . -name \*.log -ls | sort -r -n -k7 Here are two options; one bash-centric and one just for fun.
( shopt -s globstar dotglob; stat --format "%s %n" -- **/*.log | sort -rn ) - runs in a sub-shell, so that the shopt statements don’t affect the current/running shell.
- sets the globstar and dotglob shell options; globstar enables the use of the ** syntax to match files in subdirectories; dotglob enables the shell globbing to match directories that start with a .
- stat is how we gather the file sizes with their names; it’s installed by default on CentOS systems — it is not POSIX-specified.
- the real work here is done by the globstar **/*.log , which gathers matching filenames (*.log) in the current directory and any subdirectories.
- we then reverse-numerically sort the file sizes & names to get the largest files first (use -n without the r to sort them in ascending-size order).
Another bash-centric option, but one that also exercises an ls flag to sort its arguments by size:
shopt -s globstar dotglob ls -lS **/*.log # or, in reverse: ls -lrS **/*.log To exercise your system and your patience, you could search for files of a specific size in a certain order:
for((i=9223372036854775807;i>=0;i--)); do find . -name \*.log -size $c -exec stat --format "%s %n" <> + ; done This runs 9,223,372,036,854,775,807 (over 9 quintillion) find commands, looking for *.log files of every possible size, again calling stat to display just the file sizes and names. In case there are multiple files of the same size, I included find’s <> + syntax to pass as many filenames to stat as will fit in the environment. You may have to adjust the for loop range based on your shell’s integer size, or if you know how large the largest log file might be. This «option» has the «benefit» of being able to be POSIX-compliant if you replace the stat call with a simple ls .