如何监控Ubuntu系统日志 - 问答

监控Ubuntu系统日志的常用方法与工具

Ubuntu系统的日志主要存储在/var/log目录下（如/var/log/syslog记录一般系统信息、/var/log/auth.log记录认证事件、/var/log/kern.log记录内核消息），以下是具体的监控方法：

tail -f命令：实时查看日志文件的新增内容，是最常用的实时监控方法。例如，监控系统通用日志：
sudo tail -f /var/log/syslog
若要监控特定服务的日志（如Apache的访问日志），可替换为对应路径：
sudo tail -f /var/log/apache2/access.log。
grep命令：过滤日志中的关键词，快速定位特定事件。例如，查找系统日志中的“error”信息：
sudo grep 'error' /var/log/syslog。
journalctl命令：systemd提供的日志管理工具，支持更强大的查询功能。
- 实时查看所有日志：sudo journalctl -f；
- 按优先级过滤（如优先级3为错误）：sudo journalctl -p 3；
- 查看特定服务的日志（如SSH服务）：sudo journalctl -u ssh；
- 指定时间范围查看（如2025年10月1日至10月31日）：sudo journalctl --since "2025-10-01" --until "2025-10-31"。

Logwatch：自动生成系统日志报告，汇总CPU使用率、内存占用、磁盘空间、网络流量等信息。安装后运行即可查看文本报告：
sudo apt-get install logwatch → sudo logwatch；
若需通过邮件发送报告，可添加--output mail --mailto your_email@example.com参数。
ELK Stack（Elasticsearch+Logstash+Kibana）：适用于大规模日志的集中管理、分析与可视化。通过Elasticsearch存储日志，Logstash收集并解析日志，Kibana创建仪表板展示日志趋势、异常事件等。
Graylog：开源日志管理平台，支持日志收集、索引、搜索和告警。可通过其Web界面实现日志的集中管理与可视化。

使用logrotate工具自动轮转、压缩和删除旧日志文件，避免单个日志文件过大。

安装：sudo apt-get install logrotate（Ubuntu默认已安装）；
配置：编辑/etc/logrotate.conf（全局配置）或/etc/logrotate.d/下的服务特定配置（如/etc/logrotate.d/rsyslog）；
手动测试：强制运行当前配置：sudo logrotate -f /etc/logrotate.conf。

使用inotifywait工具（属于inotify-tools包）监控日志文件的修改、创建、删除等事件，实时触发检测逻辑。

安装：sudo apt-get install inotify-tools；
监控示例：实时监控/var/log/syslog的变化，并输出事件信息：
sudo inotifywait -m /var/log/syslog -e modify,attrib,close_write,move,create,delete | while read path action file; do echo "The file '$file' in directory '$path' was $action"; done。

通过rsyslog或logwatch设置告警规则，当检测到异常（如SSH登录失败、磁盘空间不足）时发送通知。

rsyslog告警：编辑/etc/rsyslog.conf或/etc/rsyslog.d/50-default.conf，添加规则（如将SSH登录失败的日志写入单独文件）：
if $programname == 'sshd' and $msg contains 'Failed password' then /var/log/failed_logins.log & stop；
重启rsyslog服务生效：sudo systemctl restart rsyslog。
logwatch告警：通过logwatch的--mailto参数将报告发送到邮箱，或在配置文件中设置自定义告警规则。

0 赞

0 踩