Come monitorare gli eventi in tempo reale in Linux

Una delle migliori pratiche che come personale di supporto IT possiamo svolgere è creare attività periodiche in cui è consentito rivedere tutti gli eventi che si verificano nel sistema operativo.

Questo è funzionale poiché un evento ci fornisce indicatori come:

  • Utente che ha apportato la modifica
  • Data e ora dell'evento
  • Tipo e ID dell'evento e altro.

Con queste informazioni, le attività di supporto diventano un punto molto più centralizzato e più facile da gestire poiché abbiamo il controllo su tutto ciò che accade al suo interno e che può influire sulle sue prestazioni e sicurezza ottimali. Possiamo vedere che abbiamo a nostra disposizione vari strumenti e applicazioni per eseguire questo processo, ma oggi Solvetic analizzerà nel dettaglio alcune delle opzioni più pratiche per analizzare e conoscere il contenuto di un evento in tempo reale.

1. Monitora gli eventi in tempo reale su Linux con il comando Tail


Questo comando ci permette di visualizzare le ultime righe di un file sullo schermo. Per impostazione predefinita vengono visualizzate le ultime 10 righe, ma questo numero può variare in base alle specifiche dell'utente specificate.

La sua sintassi è la seguente:

 file tail -options
Lì sarà possibile specificare uno o più file contemporaneamente, se vengono specificati più file, questi file verranno visualizzati nello stesso ordine in cui sono stati specificati nel comando.

L'utilizzo di questo comando ha due alternative principali:

opzione 1
Con la prima opzione, il comando tail avrà bisogno dell'argomento -f per tenere traccia del contenuto di un file.

 sudo tail -f (File)
In questo caso eseguiremo la seguente riga:
 sudo tail -f / etc / passwd

opzione 2
La seconda opzione del comando è sostanzialmente la sua sintassi originale: tailf, con questa opzione non sarà necessario utilizzare l'opzione -f perché il comando è integrato con l'argomento -f.

 sudo tailf / etc / passwd

I file di registro vengono in genere ruotati frequentemente su un server Linux utilizzando l'utilità logrotate. Per vedere i file di registro che vengono ruotati su base giornaliera, possiamo usare il comando -F (flag to tail.):

 sudo tail -F / etc / passwd
Il parametro tail -F terrà traccia della creazione di un nuovo file di registro e inizierà a tenere traccia del nuovo file anziché del vecchio file.

Per impostazione predefinita, il comando tail visualizzerà le ultime 10 righe di un file. Se vogliamo vedere solo le ultime due righe del file di log in tempo reale, possiamo usare il file -n combinato con il flag -f come segue:

 sudo tail -n2 -f / etc / passwd

2. Monitora gli eventi in tempo reale su Linux con il comando Multitail


MultiTail è un'utilità ncurses open source che può essere utilizzata per visualizzare più file di registro sull'output standard in una singola finestra o una singola shell che visualizza le ultime righe dei file di registro in tempo reale, simile al comando tail. , che divide la console in più finestre secondarie.

Multitail supporta anche l'evidenziazione del colore, il filtraggio, l'aggiunta e la rimozione di finestre e molto altro.

Tra le sue caratteristiche abbiamo

  • Più sorgenti di ingresso
  • Display a colori con espressione regolare in caso di informazioni importanti
  • Filtraggio di linea
  • Menu interattivi per rimuovere e aggiungere shell.

Per installare questa utility possiamo eseguire i seguenti comandi in base alla distro utilizzata:

 sudo apt install multitail (Debian / Ubuntu) sudo yum install multitail (RedHat / CentOS) sudo dnf install multitail (Fedora 22 e versioni successive)

Per visualizzare l'output di due file di registro contemporaneamente, utilizzeremo la seguente sintassi:

 sudo multitail (Path1) (Path2) sudo multitail / etc / passwd / var / log / syslog
Il risultato sarà il seguente. Possiamo vedere i dettagli di ciascuno degli argomenti che abbiamo indicato.

INGRANDIRE

3. Monitora gli eventi in tempo reale su Linux con il comando lnav


Lnav (Log File Navigator) è un visualizzatore di file di registro avanzato e su piccola scala, attraverso il quale sarà possibile visualizzare e analizzare i file di registro da un terminale.

Lnav non richiede un proprio server o una configurazione complessa. Per la sua installazione possiamo utilizzare uno dei seguenti comandi:

 sudo apt install lnav (Debian / Ubuntu) sudo yum install lnav (RedHat / CentOS) sudo dnf install lnav (Fedora 22 e versioni successive)

INGRANDIRE

Con lnav sarà possibile analizzare il contenuto di due file di log contemporaneamente con la seguente sintassi:

 sudo lnav (Percorso 1) (Percorso 2) 
In questo caso:
 sudo lnav / etc / passwd / var / log / syslog

INGRANDIRE

Lì troveremo tutte le informazioni dettagliate di ogni record.

4. Monitora gli eventi in tempo reale in Linux con meno comandi


Con il comando less sarà possibile visualizzare l'output in tempo reale dei file di log selezionati. Per questa visualizzazione, possiamo accedere al file e premere i tasti Maiusc + F per vederne il contenuto. In alternativa sarà anche possibile utilizzare less + F per entrare nella live view del file:
 sudo less + F / etc / passwd

INGRANDIRE

Abbiamo visto le varie alternative per accedere e monitorare gli eventi in tempo reale in ambienti Linux in modo semplice e funzionale.

wave wave wave wave wave