Освойте инструменты и лучшие практики DevOps — Центр знаний DevOps Освойте инструменты и лучшие практики DevOps — Центр знаний DevOps

Продвинутый анализ логов для устранения неполадок в Linux

Используйте journalctl, dmesg, журналы аутентификации и инструменты аудита для отслеживания сбоев Linux в сервисах, загрузках и событиях безопасности.

Продвинутый анализ логов для устранения неполадок в Linux

Системные логи рассказывают вам, что произошло до того, как служба Linux вышла из строя, загрузка зависла или на сервере закончилась память. Сложность заключается в том, чтобы достаточно быстро отсеять шум и найти полезную строку.

Это руководство выходит за рамки простой проверки файлов (cat /var/log/messages) и показывает, как совместно использовать journalctl, dmesg и журналы аудита безопасности.

1. Освоение единого журнала (systemd-journald)

Современные дистрибутивы Linux, использующие systemd, централизуют ведение логов через systemd-journald, сохраняя их в структурированном индексированном двоичном формате. Основным инструментом для доступа к этим данным является journalctl.

1.1 Фильтрация по времени и загрузке

Для продвинутой диагностики часто требуется изолировать события по конкретным временным промежуткам или циклам загрузки. Флаги -b (загрузка) и -S/-U (с/по) здесь незаменимы.

Команда Назначение Пример использования
journalctl -b Просмотр логов только для текущей загрузки. Анализ проблемы, начавшейся после последней перезагрузки.
journalctl -b -1 Просмотр логов для предыдущей загрузки. Диагностика редкого сбоя загрузки.
journalctl -S "2 часа назад" Просмотр логов, начиная с определенного времени или периода. Проверка активности непосредственно перед сбоем службы.
journalctl --since "ГГГГ-ММ-ДД ЧЧ:ММ:СС" Просмотр логов, начиная с точной временной метки. Сопоставление системных логов с данными внешнего мониторинга.

1.2 Фильтрация по метаданным

Структурированная природа журнала позволяет фильтровать на основе точных полей метаданных, что быстро отсекает нерелевантные данные.

# Фильтрация логов только для службы SSH
journalctl -u sshd.service

# Фильтрация логов от ядра (приоритет 0-7)
journalctl -k

# Фильтрация логов по приоритету (например, критические ошибки и выше)
# 0=emerg, 1=alert, 2=crit, 3=err
journalctl -p 0..3 -S yesterday

# Фильтрация логов по конкретному ID процесса (PID)
journalctl _PID=1234

Совет: Постоянный журнал: Если ваша система не сохраняет логи между перезагрузками, включите постоянное ведение журнала, создав директорию журнала: sudo mkdir -p /var/log/journal и установив правильные разрешения. Это критически важно для диагностики проблем, связанных с загрузкой.

2. Анализ сообщений ядра с помощью dmesg и journalctl

Сообщения ядра критически важны для диагностики низкоуровневых аппаратных проблем, сбоев драйверов и паник операционной системы. В то время как dmesg предоставляет «сырой» снимок кольцевого буфера ядра, journalctl интегрирует эти сообщения с временными метками и полным контекстом.

2.1 Использование dmesg для немедленной проверки оборудования

dmesg работает быстро и отражает сообщения инициализации, которые часто теряются, если журнал не успевает запуститься достаточно рано. Он в первую очередь полезен для поиска ошибок инициализации оборудования.

# Фильтрация вывода dmesg по ключевым словам сбоев (без учета регистра)
dmesg | grep -i 'fail\|error\|oops'

# Просмотр сообщений, связанных с конкретным оборудованием (например, дисками)
dmesg | grep sd

2.2 Идентификация OOM Killer

Исчерпание ресурсов, особенно памяти, приводит к тому, что ядро вызывает Out-Of-Memory (OOM) Killer. Этот процесс выборочно завершает приложения для освобождения памяти. Выявление этого события жизненно важно для диагностики проблем с памятью.

Ищите сообщения, содержащие oom-killer или killed process в логах ядра:

# Поиск событий OOM в журнале текущей загрузки
journalctl -b -k | grep -i 'oom-killer\|killed process'

Связанные записи в логе будут детально описывать, какой процесс был завершен, его потребление памяти и общее использование памяти системой в тот момент.

3. Углубленный анализ логов приложений и служб

Когда конкретная служба выходит из строя, анализ логов должен сместиться на отслеживание зависимостей и связанных ошибок приложений.

3.1 Сопоставление статуса службы и логов

Всегда начинайте диагностику сбоя службы с проверки ее статуса, который часто предоставляет код возврата и подсказку об ошибке.

# Проверка статуса службы веб-сервера
systemctl status apache2.service

# Немедленно после этого просмотрите логи службы
journalctl -u apache2.service --no-pager

Ищите ненулевые коды возврата, ошибки сегментации или сообщения, указывающие на нарушение лимитов ресурсов (например, лимитов файловых дескрипторов).

3.2 Изучение традиционных файлов логов

Хотя systemd обрабатывает большинство логов, некоторые устаревшие приложения или службы (особенно базы данных, такие как PostgreSQL или MySQL) по-прежнему записывают объемные логи напрямую в /var/log.

Распространенные расположения и их назначение:

  • /var/log/messages или /var/log/syslog: Общая системная активность, зависит от дистрибутива.
  • /var/log/dmesg: Статическая копия кольцевого буфера ядра (если сохранена).
  • /var/log/httpd/error_log: Ошибки приложений Apache/Nginx.
  • /var/log/faillog: Записывает неудачные попытки входа.

Используйте мощные инструменты обработки текста, такие как grep, awk и tail, для мониторинга в реальном времени и фильтрации этих файлов:

# Наблюдение за файлом лога в реальном времени во время воспроизведения ошибки
tail -f /var/log/application/database.log | grep -i 'fatal\|timeout'

4. Анализ логов безопасности и аудита

Логи безопасности обеспечивают видимость попыток аутентификации, сбоев разрешений и изменений конфигурации — критически важно для диагностики проблем контроля доступа или попыток взлома.

4.1 Логи аутентификации (auth.log/secure)

В Debian/Ubuntu эти логи находятся в /var/log/auth.log; в RHEL/CentOS они обычно находятся в /var/log/secure (или доступны через журнал).

Ищите повторяющиеся сбои подключения или несанкционированные попытки, часто сигнализируемые:

# Просмотр неудачных попыток входа по SSH
grep 'Failed password' /var/log/secure

# Анализ использования sudo для несанкционированного повышения привилегий
grep 'COMMAND=' /var/log/auth.log

4.2 Система аудита Linux (Auditd)

Для сред, требующих всестороннего отслеживания доступа к файлам, системных вызовов и изменений конфигурации, необходима система аудита Linux (auditd). Анализ обычно выполняется с помощью инструмента ausearch.

# Поиск событий, связанных с отказами в доступе к файлам
ausearch -m AVC,USER_AVC,DENIED -ts yesterday

# Поиск всех системных вызовов, выполненных конкретным пользователем (UID 1000)
ausearch -ua 1000

5. Практические сценарии устранения неполадок

Эффективный анализ логов включает знание того, где искать, исходя из наблюдаемого симптома.

Сценарий 1: Сбой монтирования файловой системы во время загрузки

Если система загружается в аварийный режим, проблема почти всегда отслеживается в сообщениях ранней загрузки.

  1. Действие: Перезагрузите систему.
  2. Инструмент анализа: journalctl -b -k (сосредоточьтесь на логах ядра для неудачной загрузки).
  3. Ключевые слова: ext4 error, superblock, mount error, dependency failed.
  4. Подсказка к первопричине: Строка, упоминающая явный код ошибки на /dev/sdb1 или отсутствующий UUID в /etc/fstab.

Сценарий 2: Периодическая высокая нагрузка и замедление работы службы

Когда производительность периодически ухудшается, причиной может быть конкуренция за ресурсы или утечка памяти.

  1. Действие: Определите время, когда произошло замедление.
  2. Инструмент анализа: journalctl --since "10 минут до события" -p warning..crit.
  3. Ключевые слова: oom-killer, cgroup limit, CPU limit reached, deadlock.
  4. Подсказка к первопричине: Если OOM killer не найден, отфильтруйте логи по отдельным службам с высоким потреблением ресурсов, чтобы проверить наличие повторяющихся внутренних ошибок (например, тайм-аутов подключения к базе данных или чрезмерного логирования).

Вывод: Создайте повторяемый рабочий процесс работы с логами

Продвинутый анализ логов работает лучше всего, когда вы каждый раз следуете одному и тому же пути:

  1. Стандартизируйте фильтрацию: Изучите и стандартизируйте свои команды journalctl, чтобы быстро изолировать загрузки, службы и временные диапазоны.
  2. Централизуйте логи: Внедрите централизованное решение для ведения логов (например, ELK Stack, Splunk, Graylog) для сложных сред. Это позволяет сопоставлять логи с нескольких серверов, что критически важно для устранения неполадок в распределенных приложениях.
  3. Понимайте приоритеты: Знайте уровни серьезности (emerg, alert, crit, err, warning, notice, info, debug) и используйте флаг -p, чтобы игнорировать рутинные сообщения info во время чрезвычайных ситуаций.
  4. Поддерживайте синхронизацию: Убедитесь, что все системные часы синхронизированы через NTP; несинхронизированные часы делают сопоставление логов между системами практически невозможным.