本系列教程將完整的講解整個(gè)Linu__相關(guān)的知識(shí)，這是樓主學(xué)完兄弟連的Linu__教程之后重新對(duì)Linu__知識(shí)體系的整理。下面就讓小編帶你去看看電腦實(shí)用Linu__系列教程，希望能幫助到大家!

整理了Linu__全套自學(xué)教程!

為什么要用Linu__?

Linu__極其強(qiáng)大，可以讓聰明人干任何他們想干的事情。

Linu__ 從誕生之日起，它的工作方式就比 Windows 的先進(jìn)。

Linu__ 屬于能勇敢面對(duì)符號(hào)的人。只有符號(hào)才能完全操縱計(jì)算機(jī)。

歐美發(fā)達(dá)國家的傳統(tǒng)科研單位、黑客們從幾十年前就從事這些行當(dāng)了，使用Linu__/Uni__的習(xí)慣延續(xù)至今。

鼠標(biāo)雖然是很好的工具，但是它的表達(dá)能力是有限的。

你不可能光用鼠標(biāo)就讓電腦完全明白你的意思，它畢竟只有3個(gè)按鈕。所以我們雖然很喜歡鼠標(biāo)，但是卻不能完全依賴它。

熟練的Linu__黑客可以很快敲出一行命令，組合系統(tǒng)里面的各種工具來完成一個(gè)任務(wù)。很多工具本身就是一個(gè)黑客工具，壓根就沒考慮windows用戶們，在圖形界面下用起來反而非常麻煩。圖形界面的優(yōu)勢(shì)是數(shù)據(jù)展示方式多樣，劣勢(shì)是從使用者的角度看，它混淆了數(shù)據(jù)展示和數(shù)據(jù)本身。

在Linu__大量工作抽象地看是這樣的：

把一堆數(shù)據(jù)扔進(jìn)一個(gè)程序，得到另一堆數(shù)據(jù)，再扔進(jìn)另一個(gè)程序……

不用關(guān)心數(shù)據(jù)展示，它要的是數(shù)據(jù)本身。

什么是 Windows 能干而 Linu__ 干不了的事情?

“Windows 能干而 Linu__ 干不了的事情，那就是不需要干的事情。”

幾乎所有科學(xué)計(jì)算程序，EDA 程序，高性能圖像處理程序都不是基于 Windows 的。

消除學(xué)計(jì)算機(jī)很難的幻覺，勇敢的拿起像 bash, FVWM, Te__, VIM, Emacs, Mutt ……這樣強(qiáng)大的程序，勇敢的面對(duì)符號(hào)。不要再埋怨“Linu__ 為什么不能像 Windows 那樣”，不要再浪費(fèi)時(shí)間試用這樣那樣的程序，不要再忙著升級(jí)。你需要理解 UNI__ 的工作方式，因?yàn)槟鞘谴蠖鄶?shù)科學(xué)家的工作方式。

Linu__入門教程：Linu__開機(jī)啟動(dòng)過程淺析

asic Input/Output System),完成一些系統(tǒng)的完整性檢查、搜索、

加載并且執(zhí)行引導(dǎo)程序(boot loader), 它在軟盤，CD-ROM或者硬盤上尋找引導(dǎo)程序。你可以在

系統(tǒng)啟動(dòng)時(shí)按下鍵盤(通常是F12或者F2，但是因系統(tǒng)而異)來修改啟動(dòng)順序

一旦引導(dǎo)程序被檢測(cè)到并且加載到內(nèi)存，BIOS會(huì)將控制權(quán)移交給它

MBR

MBR表示主引導(dǎo)記錄(Master Boot Record)

用于加載并執(zhí)行GRUB

GRUB

GRUB是多重引導(dǎo)管理器(GRand Unified Bootloader)

執(zhí)行 /etc/grub.conf, 加載內(nèi)核鏡像

vim /etc/grub.conf

default=0

timeout=5

splashimage=(hd0,0)/grub/splash.__pm.gz

hiddenmenu

title CentOS 6 (2.6.32-504.el6.__86_64)

root (hd0,0)

kernel /vmlinuz-2.6.32-504.el6.__86_64 ro root=/dev/mapper/vg_ddz-lv_root rd_NO_LUKS rd_NO_MD rd_LVM_LV=vg_ddz/lv_root crashkernel=128M.UTF-8 rd_LVM_LV=vg_ddz/lv_swap KEYBOARDTYPE=pc KEYTABLE=us rd_NO_DM rhgb quiet

initrd /initramfs-2.6.32-504.el6.__86_64.img

Kernel

執(zhí)行內(nèi)核首個(gè)進(jìn)程 /sbin/init, 進(jìn)程號(hào)為1, 是接下來所有其它進(jìn)程的父進(jìn)程

initrd表示Initial RAM Disk

initrd被內(nèi)核用作臨時(shí)的根目錄，直到內(nèi)核啟動(dòng)完成并且真正的根目錄掛載成功。

它也包括一些編譯好的必要的驅(qū)動(dòng)程序，這些程序有助于它訪問硬盤和其他硬件

Init

執(zhí)行 /etc/inittab, 來確定啟動(dòng)級(jí)別

vim /etc/intttab

# Default runlevel. The runlevels used are:

# 0 - halt (Do NOT set initdefault to this)

# 1 - Single user mode

# 2 - Multiuser, without NFS (The same as 3, if you do not have networking)

# 3 - Full multiuser mode (終端模式)

# 4 - unused

# 5 - __11(圖形用戶界面)

# 6 - reboot (Do NOT set initdefault to this)

#

id:5:initdefault:執(zhí)行 /etc/rc.d/rc.sysinit, 來啟動(dòng)系統(tǒng)進(jìn)程,比如說NetWork

RunLevel

執(zhí)行啟動(dòng)級(jí)別相對(duì)應(yīng)的一系列系統(tǒng)服務(wù)

對(duì)應(yīng)啟動(dòng)級(jí)別的目錄如下

ll /etc/rc.d/

drw__r-__r-__. 2 root root 4096 11月 29 09:49 rc0.d

drw__r-__r-__. 2 root root 4096 11月 29 09:49 rc1.d

drw__r-__r-__. 2 root root 4096 3月 10 17:18 rc2.d

drw__r-__r-__. 2 root root 4096 3月 10 17:18 rc3.d

drw__r-__r-__. 2 root root 4096 3月 10 17:18 rc4.d

drw__r-__r-__. 2 root root 4096 3月 10 17:18 rc5.d

drw__r-__r-__. 2 root root 4096 11月 29 09:49 rc6.d

RunDefinition

最后執(zhí)行 /etc/rc.d/rc.local, 來運(yùn)行自定義的服務(wù)

vim /etc/rc.d/rc.local

1 #!/bin/sh

2 #

3 # This script will be e__ecuted __after__ all the other init scripts.

4 # You can put your own initialization stuff in here if you don't

5 # want to do the full Sys V style init stuff.

6

7 touch /var/lock/subsys/local

8 if test -f /sys/kernel/mm/transparent_hugepage/enabled; then

9 echo never > /sys/kernel/mm/transparent_hugepage/enabled

10 fi

11 if test -f /sys/kernel/mm/transparent_hugepage/defrag; then

12 echo never > /sys/kernel/mm/transparent_hugepage/defrag

13 fi

14

15 /bin/bash /usr/local/apps/kylin/bin/kylin.sh start

其中第15行為自定義啟動(dòng)腳本

Final

Linu__終端神器tmu__使用教程

一、Tmu__ 是什么?

1.1 會(huì)話與進(jìn)程

命令行的典型使用方式是，打開一個(gè)終端窗口(terminal window，以下簡稱"窗口")，在里面輸入命令。用戶與計(jì)算機(jī)的這種臨時(shí)的交互，稱為一次"會(huì)話"(session) 。

會(huì)話的一個(gè)重要特點(diǎn)是，窗口與其中啟動(dòng)的進(jìn)程是連在一起的。打開窗口，會(huì)話開始;關(guān)閉窗口，會(huì)話結(jié)束，會(huì)話內(nèi)部的進(jìn)程也會(huì)隨之終止，不管有沒有運(yùn)行完。

一個(gè)典型的例子就是，SSH 登錄遠(yuǎn)程計(jì)算機(jī)，打開一個(gè)遠(yuǎn)程窗口執(zhí)行命令。這時(shí)，網(wǎng)絡(luò)突然斷線，再次登錄的時(shí)候，是找不回上一次執(zhí)行的命令的。因?yàn)樯弦淮?SSH 會(huì)話已經(jīng)終止了，里面的進(jìn)程也隨之消失了。

為了解決這個(gè)問題，會(huì)話與窗口可以"解綁"：窗口關(guān)閉時(shí)，會(huì)話并不終止，而是繼續(xù)運(yùn)行，等到以后需要的時(shí)候，再讓會(huì)話"綁定"其他窗口。

1.2 Tmu__ 的作用

Tmu__ 就是會(huì)話與窗口的"解綁"工具，將它們徹底分離。

(1)它允許在單個(gè)窗口中，同時(shí)訪問多個(gè)會(huì)話。這對(duì)于同時(shí)運(yùn)行多個(gè)命令行程序很有用。

(2) 它可以讓新窗口"接入"已經(jīng)存在的會(huì)話。

(3)它允許每個(gè)會(huì)話有多個(gè)連接窗口，因此可以多人實(shí)時(shí)共享會(huì)話。

(4)它還支持窗口任意的垂直和水平拆分。

類似的終端復(fù)用器還有 GNU Screen。Tmu__ 與它功能相似，但是更易用，也更強(qiáng)大。

二、基本用法

2.1 安裝

Tmu__ 一般需要自己安裝。

# Ubuntu 或 Debian$ sudo apt-get install tmu__# CentOS 或 Fedora$ sudo yum install tmu__# Mac$ brew install tmu__

2.2 啟動(dòng)與退出

安裝完成后，鍵入tmu__命令，就進(jìn)入了 Tmu__ 窗口。

$ tmu__

上面命令會(huì)啟動(dòng) Tmu__ 窗口，底部有一個(gè)狀態(tài)欄。狀態(tài)欄的左側(cè)是窗口信息(編號(hào)和名稱)，右側(cè)是系統(tǒng)信息。

按下Ctrl+d或者顯式輸入e__it命令，就可以退出 Tmu__ 窗口。

$ e__it

2.3 前綴鍵

Tmu__ 窗口有大量的快捷鍵。所有快捷鍵都要通過前綴鍵喚起。默認(rèn)的前綴鍵是Ctrl+b，即先按下Ctrl+b，快捷鍵才會(huì)生效。

舉例來說，幫助命令的快捷鍵是Ctrl+b ?。它的用法是，在 Tmu__ 窗口中，先按下Ctrl+b，再按下?，就會(huì)顯示幫助信息。

然后，按下 ESC 鍵或q鍵，就可以退出幫助。

三、會(huì)話管理

3.1 新建會(huì)話

第一個(gè)啟動(dòng)的 Tmu__ 窗口，編號(hào)是0，第二個(gè)窗口的編號(hào)是1，以此類推。這些窗口對(duì)應(yīng)的會(huì)話，就是 0 號(hào)會(huì)話、1 號(hào)會(huì)話。

使用編號(hào)區(qū)分會(huì)話，不太直觀，更好的方法是為會(huì)話起名。

$ tmu__ new -s

上面命令新建一個(gè)指定名稱的會(huì)話。

3.2 分離會(huì)話

在 Tmu__ 窗口中，按下Ctrl+b d或者輸入tmu__ detach命令，就會(huì)將當(dāng)前會(huì)話與窗口分離。

$ tmu__ detach

上面命令執(zhí)行后，就會(huì)退出當(dāng)前 Tmu__ 窗口，但是會(huì)話和里面的進(jìn)程仍然在后臺(tái)運(yùn)行。

tmu__ ls命令可以查看當(dāng)前所有的 Tmu__ 會(huì)話。

$ tmu__ ls# or$ tmu__ list-session

3.3 接入會(huì)話

tmu__ attach命令用于重新接入某個(gè)已存在的會(huì)話。

# 使用會(huì)話編號(hào)$ tmu__ attach -t 0# 使用會(huì)話名稱$ tmu__ attach -t

3.4 殺死會(huì)話

tmu__ kill-session命令用于殺死某個(gè)會(huì)話。

# 使用會(huì)話編號(hào)$ tmu__ kill-session -t 0# 使用會(huì)話名稱$ tmu__ kill-session -t

3.5 切換會(huì)話

tmu__ switch命令用于切換會(huì)話。

# 使用會(huì)話編號(hào)$ tmu__ switch -t 0# 使用會(huì)話名稱$ tmu__ switch -t

3.6 重命名會(huì)話

tmu__ rename-session命令用于重命名會(huì)話。

$ tmu__ rename-session -t 0

上面命令將0號(hào)會(huì)話重命名。

3.7 會(huì)話快捷鍵

下面是一些會(huì)話相關(guān)的快捷鍵。

Ctrl+b d：分離當(dāng)前會(huì)話。

Ctrl+b s：列出所有會(huì)話。

Ctrl+b $：重命名當(dāng)前會(huì)話。

四、最簡操作流程

綜上所述，以下是 Tmu__ 的最簡操作流程。

新建會(huì)話tmu__ new -s my_session。

在 Tmu__ 窗口運(yùn)行所需的程序。

按下快捷鍵Ctrl+b d將會(huì)話分離。

下次使用時(shí)，重新連接到會(huì)話tmu__ attach-session -t my_session。

五、窗格操作

Tmu__ 可以將窗口分成多個(gè)窗格(pane)，每個(gè)窗格運(yùn)行不同的命令。以下命令都是在 Tmu__ 窗口中執(zhí)行。

5.1 劃分窗格

tmu__ split-window命令用來劃分窗格。

# 劃分上下兩個(gè)窗格$ tmu__ split-window# 劃分左右兩個(gè)窗格$ tmu__ split-window -h

5.2 移動(dòng)光標(biāo)

tmu__ select-pane命令用來移動(dòng)光標(biāo)位置。

# 光標(biāo)切換到上方窗格$ tmu__ select-pane -U# 光標(biāo)切換到下方窗格$ tmu__ select-pane -D# 光標(biāo)切換到左邊窗格$ tmu__ select-pane -L# 光標(biāo)切換到右邊窗格$ tmu__ select-pane -R

5.3 交換窗格位置

tmu__ swap-pane命令用來交換窗格位置。

# 當(dāng)前窗格上移$ tmu__ swap-pane -U# 當(dāng)前窗格下移$ tmu__ swap-pane -D

5.4 窗格快捷鍵

下面是一些窗格操作的快捷鍵。

Ctrl+b %：劃分左右兩個(gè)窗格。

Ctrl+b "：劃分上下兩個(gè)窗格。

Ctrl+b ：光標(biāo)切換到其他窗格。是指向要切換到的窗格的方向鍵，比如切換到下方窗格，就按方向鍵↓。

Ctrl+b ;：光標(biāo)切換到上一個(gè)窗格。

Ctrl+b o：光標(biāo)切換到下一個(gè)窗格。

Ctrl+b {：當(dāng)前窗格左移。

Ctrl+b }：當(dāng)前窗格右移。

Ctrl+b Ctrl+o：當(dāng)前窗格上移。

Ctrl+b Alt+o：當(dāng)前窗格下移。

Ctrl+b __：關(guān)閉當(dāng)前窗格。

Ctrl+b !：將當(dāng)前窗格拆分為一個(gè)獨(dú)立窗口。

Ctrl+b z：當(dāng)前窗格全屏顯示，再使用一次會(huì)變回原來大小。

Ctrl+b Ctrl+：按箭頭方向調(diào)整窗格大小。

Ctrl+b q：顯示窗格編號(hào)。

六、窗口管理

除了將一個(gè)窗口劃分成多個(gè)窗格，Tmu__ 也允許新建多個(gè)窗口。

6.1 新建窗口

tmu__ new-window命令用來創(chuàng)建新窗口。

$ tmu__ new-window# 新建一個(gè)指定名稱的窗口$ tmu__ new-window -n

6.2 切換窗口

tmu__ select-window命令用來切換窗口。

# 切換到指定編號(hào)的窗口$ tmu__ select-window -t # 切換到指定名稱的窗口$ tmu__ select-window -t

6.3 重命名窗口

tmu__ rename-window命令用于為當(dāng)前窗口起名(或重命名)。

$ tmu__ rename-window

6.4 窗口快捷鍵

下面是一些窗口操作的快捷鍵。

Ctrl+b c：創(chuàng)建一個(gè)新窗口，狀態(tài)欄會(huì)顯示多個(gè)窗口的信息。

Ctrl+b p：切換到上一個(gè)窗口(按照狀態(tài)欄上的順序)。

Ctrl+b n：切換到下一個(gè)窗口。

Ctrl+b ：切換到指定編號(hào)的窗口，其中的是狀態(tài)欄上的窗口編號(hào)。

Ctrl+b w：從列表中選擇窗口。

Ctrl+b ,：窗口重命名。

Linu__ 日志終極指南

Linu__ 日志分析

雖然提取的時(shí)候，不總是和你想的一樣簡單，但是日志中有大量信息在等著你。在這部分，我們會(huì)講一些基本分析示例，你可以馬上拿來處理你的日志(只是搜索里面有什么)。我們還會(huì)講一些高級(jí)分析方法，開始的時(shí)候可能要花時(shí)間來做配置，但會(huì)為以后省很多時(shí)間。你可以把高級(jí)分析的示例用在待解析的數(shù)據(jù)上，比如生成摘要計(jì)數(shù)，過濾字段值等。

首先我們會(huì)演示，你應(yīng)該如何使用不同的工具在命令行進(jìn)行日志分析;然后，演示一個(gè)日志管理工具，它能夠讓大多數(shù)乏味的工作變得自動(dòng)化和高效。

使用 Grep 搜索

搜索文本是找到你想要的信息的最基本方法。搜索文本最常用的工具是 grep 。這個(gè)命令行工具，大多數(shù) Linu__ 發(fā)行版上都有，它支持你用正則表達(dá)式來搜索日志。正則表達(dá)式是一種用專門語言寫成的語句，可用來識(shí)別匹配文本。最簡單的正則表達(dá)式是把你搜索的字符串加上引號(hào)。

正則表達(dá)式

這里有個(gè)例子，它在 Ubuntu 的認(rèn)證日志里搜索 “user hoover”：

$ GREP "USER HOOVER" /VAR/LOG/AUTH.LOG

ACCEPTED PASSWORD FOR HOOVER FROM 10.0.2.2 PORT 4792 SSH2

PAM_UNI__(SSHD:SESSION): SESSION OPENED FOR USER HOOVER BY (UID=0)

PAM_UNI__(SSHD:SESSION): SESSION CLOSED FOR USER HOOVER

構(gòu)造精確的正則表達(dá)式很難。例如，假設(shè)我們搜索一個(gè)數(shù)字，比如端口號(hào)“4792” ，它也可以匹配時(shí)間戳，URLs和其他不需要的數(shù)據(jù)。在下面針對(duì) Ubuntu 的例子里，它匹配了 Apache 日志，但這并不是我們想要的。

$ grep "4792" /var/log/auth.log

Accepted password for hoover from 10.0.2.2 port 4792 ssh2

74.91.21.46 - - [31/Mar/2015:19:44:32 +0000] "GET /scripts/samples/search?q=4972HTTP/1.0" 404 545 "-" "-”

延伸搜索

另一個(gè)有用的技巧是你可以用grep 做延伸搜索。它會(huì)輸出匹配項(xiàng)的前幾行和后幾行內(nèi)容。它可以幫你調(diào)試是什么導(dǎo)致了錯(cuò)誤或問題。B 選項(xiàng)指定顯示匹配項(xiàng)前面的行數(shù)，A 選項(xiàng)指定顯示匹配項(xiàng)后面的行數(shù)。如下所示，我們看到，當(dāng)有人以 admin 身份登陸失敗后， 反向映射也會(huì)失敗，這說明他們可能沒有有效的域名。這很可疑!

$ grep -B 3 -A 2 'Invalid user' /var/log/auth.log

Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: reverse mapping checking getaddrinfo for 216-19-2-8.commspeed.net[216.19.2.8] failed - POSSIBLE BREAK-IN ATTEMPT!

Apr 28 17:06:20 ip-172-31-11-241 sshd[12545]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]

Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Invalid user; admin from 216.19.2.8

Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: input_userauth_request: invalid user admin [preauth]

Apr 28 17:06:20 ip-172-31-11-241 sshd[12547]: Received disconnect from 216.19.2.8: 11: Bye Bye [preauth]

Tail命令

你也可以將 tail 和 grep 搭配起來使用，以獲取文件最后幾行，或者跟蹤日志并實(shí)時(shí)打印。當(dāng)你在進(jìn)行交互式更改比如架設(shè)服務(wù)器或測(cè)試代碼更改的時(shí)候，非常有用。

$ tail -f /var/log/auth.log | grep 'Invalid user'

Apr 30 19:49:48 ip-172-31-11-241 sshd[6512]: Invalid user ubnt from 219.140.64.136

Apr 30 19:49:49 ip-172-31-11-241 sshd[6514]: Invalid user; admin from 219.140.64.136

全面介紹 grep 和正則表達(dá)式超出了本文的范圍，Ryan 的教程里有更深入的介紹。

日志管理系統(tǒng)中有更高效更強(qiáng)大的搜索工具。它們通常對(duì)數(shù)據(jù)建立索引和并行查詢，因此你可以在數(shù)秒之內(nèi)快速查詢高達(dá) G 字節(jié)或 T 字節(jié)的日志。相比之下，用 grep ，可能要花幾分鐘，極端情況下會(huì)花費(fèi)數(shù)小時(shí)。日志管理系統(tǒng)也像 Lucene (譯注：一個(gè)開源的全文檢索引擎工具包)一樣使用查詢語言 ，它為數(shù)字，字段等的搜索提供了簡單的語法。

用Cut，AWK 和 Grok 解析日志

命令行工具

Linu__ 提供了幾種文本解析和分析的命令行工具。如果你想快速解析少量的數(shù)據(jù)，它們很強(qiáng)大，但是處理大量數(shù)據(jù)要花很長時(shí)間。

Cut 命令

cut 命令可以從帶分隔符的日志中解析字段。分隔符是類似等號(hào)或逗號(hào)的字符，用來劃分字段或鍵值對(duì)。

比如說，我們想從這個(gè)日志中提取用戶名：

pam_uni__(su:auth): authentication failure; logname=hoover uid=1000 euid=0 tty=/dev/pts/0 ruser=hoover rhost= user=root

我們可以和下面一樣使用 cut 命令，獲取第八個(gè)等號(hào)后邊的文本。這是 Ubuntu 上的例子：

$ grep "authentication failure" /var/log/auth.log | cut -d '=' -f 8

root

hoover

root

nagios

nagios

AWK 命令

此外，你還可以用 awk，它擁有更強(qiáng)的解析字段的功能。它提供了一個(gè)腳本語言，讓你幾乎可以過濾出任何毫不相關(guān)的信息。

舉個(gè)例子，假設(shè)我們?cè)?Ubuntu 上有如下的日志，我們想提取登陸失敗的用戶名：

Mar 24 08:28:18 ip-172-31-11-241 sshd[32701]: input_userauth_request: invalid user guest [preauth]

下面是使用 awk 的例子。首先，用一個(gè)正則表達(dá)式 /sshd.__invalid user/ 匹配 sshd 無效用戶的那一行。然后使用 { print } 打印第九個(gè)字段(默認(rèn)的分隔符是空格)。這樣就輸出了用戶名。

$ awk '/sshd.__invalid user/ { print }' /var/log/auth.log

guest

admin

info

test

ubnt

你可以從 Awk 用戶指南中獲取更多關(guān)于如何使用正則表達(dá)式和打印字段的信息。

日志管理系統(tǒng)

日志管理系統(tǒng)讓解析更容易并且讓用戶可以快速分析大量日志文件。它們可以自動(dòng)解析標(biāo)準(zhǔn)日志格式，比如公共 Linu__ 日志或 web 服務(wù)日志。這會(huì)節(jié)省很多時(shí)間，因?yàn)槟阍诙ㄎ幌到y(tǒng)問題的時(shí)候不用去想如何寫你的解析邏輯。

這里你可以看一個(gè)來自 sshd 的日志信息，解析出了遠(yuǎn)程主機(jī)和用戶字段。這個(gè)截圖來自 Loggly，一個(gè)基于云計(jì)算的日志管理服務(wù)。

對(duì)非標(biāo)準(zhǔn)格式的日志，你也可以自定義解析規(guī)則。最常用的工具是 Grok，它用通用正則表達(dá)式庫把純文本解析成 JSON 格式。這是 Grok 的配置示例，用來解析 Logstash 的內(nèi)核日志 ：

filter{

grok {

match => {"message" => "%{CISCOTIMESTAMP:timestamp} %{HOST:host} %{WORD:program}%{NOTSPACE} %{NOTSPACE}%{NUMBER:duration}%{NOTSPACE} %{GREEDYDATA:kernel_logs}"

}

}

這是用 Grok 解析后輸出的結(jié)果：

使用 Rsyslog 和 AWK 過濾

過濾是搜索特定的字段，而不是全部文本。這讓你的日志分析更精確，因?yàn)樗鼤?huì)忽略其他不需要的日志信息。為了搜索一個(gè)字段值，你需要先解析你的日志或者至少有一種基于事件結(jié)構(gòu)的搜索方法。

如何篩選出同一個(gè)應(yīng)用的日志

通常，你只想看來自同一個(gè)應(yīng)用的日志。如果你的應(yīng)用總是把日志記錄在單個(gè)文件中，這樣很容易分析。如果你要從聚合或集中起來的日志里篩選出和某個(gè)程序相關(guān)的日志，會(huì)很復(fù)雜。這里有幾種解決的辦法。

用 Rsyslog 服務(wù)解析和過濾日志。這個(gè)例子是將 sshd 應(yīng)用程序的日志寫入名為 sshd-messages 的文件中，然后丟棄事件，所以它不會(huì)在其他日志里重復(fù)出現(xiàn)。你可以把它加到你的 Rsyslog.conf 文件里試一下。

:programname, isequal, “sshd” /var/log/sshd-messages

&~

使用命令行工具比如 awk ，提取特定字段的值，比如取 sshd 用戶名。這是 Ubuntu 上的例子。

$ awk '/sshd.__invalid user/ { print }' /var/log/auth.log

guestadmin

info

test

ubnt

使用日志管理系統(tǒng)自動(dòng)解析你的日志，然后點(diǎn)擊目標(biāo)應(yīng)用的名字進(jìn)行過濾。這個(gè)截圖顯示了 syslog 的各個(gè)字段，在一個(gè)叫做 Loggly 的日志管理服務(wù)中。如圖中文氏圖所示，當(dāng)前正在過濾 sshd 這個(gè)應(yīng)用。

如何篩選出錯(cuò)誤信息

最常見的事情是，人們想看到日志中的錯(cuò)誤。不巧的是，默認(rèn)的 syslog 配置不會(huì)直接輸出錯(cuò)誤的級(jí)別，這使得錯(cuò)誤信息很難被篩選。

這里有兩種方案來解決這個(gè)問題。首先，你可以修改 rsyslog 配置，讓它輸出級(jí)別到日志文件中，使得錯(cuò)誤信息容易被讀取和搜索。在你的 Rsyslog 配置中你可以加一個(gè)pri-te__t 模版，如下所示：

" : %timegenerated%,%HOSTNAME%,%syslogtag%,%msg%n"

這個(gè)例子的輸出如下，可以看到級(jí)別是 err。

: Mar 11 18:18:00,hoover-VirtualBo__,su[5026]:, pam_authenticate: Authentication failure

你可以用 awk 或grep 篩選出錯(cuò)誤信息。這是 Ubuntu 下的例子，我們加了開始結(jié)束標(biāo)志 . 和 > ，這樣它就只匹配這個(gè)字段。

$ grep '.err>' /var/log/auth.log

: Mar 11 18:18:00,hoover-VirtualBo__,su[5026]:, pam_authenticate: Authentication failure

第二種選擇是使用日志管理系統(tǒng)。好的日志管理系統(tǒng)會(huì)自動(dòng)解析 syslog 消息并提取出級(jí)別字段。只需點(diǎn)一下，就會(huì)按指定的級(jí)別篩選日志。

這是 Loggly 的截圖。顯示了 syslog 各個(gè)字段， Error 級(jí)別高亮顯示了，說明正在按級(jí)別 Error 過濾

電腦實(shí)用Linu__系列教程相關(guān)文章：

★ Linu__教程基礎(chǔ)知識(shí)大全

★ Linu__基本命令知識(shí)教程

★ windows安裝教程入門基本知識(shí)

★ Linu__環(huán)境下使用git提交更新代碼教程

★ linu__ 路由器限速實(shí)現(xiàn)方法教程