我有一个标准的syslog格式的日志文件。 它看起来像这样,除了每秒数百行: Jan 11 07:48:46 blahblahblah… Jan 11 07:49:00 blahblahblah… Jan 11 07:50:13 blahblahblah… Jan 11 07:51:22 blahblahblah… Jan 11 07:58:04 blahblahblah… 它不会在午夜时分推出,但它永远不会超过两天。 我经常不得不从这个文件中提取一个时间片。 我想写一个通用脚本,我可以这样调用: $ timegrep 22:30-02:00 /logs/something.log 从22:30开始,直到午夜的边界,直到第二天凌晨2点。 有几个警告: 我不想打扰命令行上的date,只是时间。 该计划应该足够聪明,以弄清楚。 日志格式不包括年份,所以它应该根据当年猜测,但在元旦周围做正确的事情。 我希望它快 – 它应该使用这样一个事实,即行是为了在文件中寻找并使用二分查找。 在我花一大笔时间写这个之前,它已经存在了吗?
我有一个启用Lighttpd和fastcgi的Centos 5系统。 它logging访问,但不logging错误。 我有内部服务器错误500和日志中没有信息,当我尝试打开不存在的文件也没有错误日志中的信息。 如何正确启用它? 以下是我启用的模块列表: server.modules = ( "mod_rewrite", "mod_redirect", "mod_alias", # "mod_access", # "mod_cml", # "mod_trigger_b4_dl", # "mod_auth", "mod_status", "mod_setenv", "mod_fastcgi", # "mod_webdav", # "mod_proxy_core", # "mod_proxy_backend_fastcgi", # "mod_proxy_backend_scgi", # "mod_proxy_backend_ajp13", # "mod_simple_vhost", # "mod_evhost", # "mod_userdir", # "mod_cgi", # "mod_compress", # "mod_ssi", # "mod_usertrack", # "mod_expire", # "mod_secdownload", # "mod_rrdtool", "mod_accesslog" ) […]
我一直在看splunk.com上的video,真的很难相信一个人可以免费获得所有这些function,但还是有“那里有什么收获”? 在我的脑后。 所以如果有人真的在生产中使用Splunk,他们会喜欢分享他们的经验,可能会突出Nagios的优势吗? 非常感谢。
在我们的生产服务器上有一个小的驱动器用于安装根目录/ , /var/log占用的空间太多,我不得不手动删除一些文件。 我如何移动/var/log/让我们说/home/log没有重新启动? 这是我想到的事情: $ mkdir /home/log $ rsync -a /var/log /home/log $ mount –bind /home/log /var/log $ /etc/init.d/rsyslof restart 但是我知道有些服务使用文件描述符,所以他们会继续使用/var/log或者inode。
任何人都可以推荐我一个分析鱿鱼日志的好工具吗? 我目前正在使用SARG 。 有什么更好的吗? 我需要很容易地看到什么网站被访问/否认,何时何人。 有一个鱿鱼分析仪的列表。 有些似乎已经过时了。 鱿鱼:日志文件分析
我试图弄清楚其他人如何实现他们的日志pipe理系统。 我有20-30个Linux服务器和几个Windows(其中大部分是虚拟化的)。 我们利用大量的Perl和Bash脚本来完成我们大部分的自动化工作,并且试图将日志logging标准化。 我一直在寻找log4perl和log4sh来logging脚本和syslog-ng,以便在一个集中的日志logging服务器上获取所有的日志。 我也读过splunk,虽然听起来像企业版是非常昂贵的,我可能会超过免费许可限制与我所有的服务器。 我见过其他工具,如swatch和logcheck,但我不太清楚所有这些部分是如何组合在一起的…任何build议将不胜感激!
正如我们都知道“unix”除了“/”和“\ 0”之外可以有任何文件,系统pipe理员往往会有一个更小的偏好,主要是由于没有任何喜欢空间作为input…和一堆事情对“:”和“@”等特殊含义。 最近我又看到了另外一个例子,在一个文件名中使用了一个时间戳,在用不同的格式播放了一些后使它“更好”,我想我会试图find一个“最佳实践”,而不是看到一个我只是问在这里,看看人们的想法。 可能的“常见”解决scheme(p =前缀和s =后缀): syslog / logrotate / DNS格式如下: p-%Y%m%d-suffix = prefix-20110719-s p-%Y%m%d%H%M-suffix = prefix-201107191732-s p-%Y%m%d%H%M%S-suffix = prefix-20110719173216-s 优点: 这是“共同的”,所以“够好”可能比“最好”更好。 没有怪异的字符。 容易区分“date/时间一滴”与其他一切。 缺点: 只有date的版本是不容易阅读,包括时间,使我的眼睛stream血,秒也是“大声笑”。 假设TZ。 ISO-8601格式 p-%Y-%m-%ds = p-2011-07-19-s p-%Y-%m-%dT%H:%M%zs = p-2011-07-19T17:32-0400-s p-%Y-%m-%dT%H:%M:%S%zs = p-2011-07-19T17:32:16-0400-s p-%Y-%m-%dT%H:%M:%S%zs = p-2011-07-19T23:32:16+0200-s 优点: 没有空间。 考虑TZ。 人类阅读是否“不错”(只有date是好的)。 可以由$(date –iso = {hours,minutes,seconds})生成 缺点: SCP /焦油/等。 不会喜欢那些':'字符。 需要一些“正常”的人看到“T”的WTF,最后是什么:)。 很多' – […]
我有一个备份脚本,压缩各种文件和目录,并创build.tgz档案。 文件被命名,例如 … backup_2010-10-28.tar.gz backup_2010-10-29.tar.gz backup_2010-10-30.tar.gz backup_2010-10-31.tar.gz backup_2010-11-01.tar.gz 我想要pipe理这些文件,只保留最后5个备份,旧文件被删除。 我可以使用logrotate来做到这一点? 它们不是日志文件,并且已经被压缩。 他们在/根,而不是在/ var /日志 – 我仍然可以使用它? 谢谢
如何为同一规则configuration多个日志path? 我试图写这样的语法: [apache-w00tw00t] enabled = true filter = apache-w00tw00t action = iptables-allports logpath = /var/log/apache*/*error.log logpath = /var/www/vhosts/site1.com/log/errorlog logpath = /var/www/vhosts/site1.com/subdom/log/errorlog logpath = /var/www/vhosts/site3/log/errorlog logpath = /var/www/vhosts/site4/log/errorlog maxretry = 1 path都是不同的,所以我不能使用RE * 将更多日志添加到规则的正确语法是什么?
在审计Windows 2008R2服务器场的磁盘空间时,我们发现某些服务器的C:\Windows\Logs\CBS\CBS.log文件相当大( C:\Windows\Logs\CBS\CBS.log )。 我的印象是,这个特定的日志文件将被周期性地压缩成CbsPersist_yyyymmddtttttt.cab文件(其中y , m , d , t分别是年,日和时间)文件,以减less使用的空间。 我可以安全地删除这些大的CBS.log文件吗? 如果我对CBS.log进行定期压缩的理解是正确的,为什么不在我的服务器上发生?