Consulter les logs : quoi, où et comment chercher ?

[wetaskiwin]

Lien vers la page du Wiki qui résume les discussions de ce post : Consulter les logs: quoi, où et comment chercher ?

Ce n'est pas quelque chose qu'on fait tous les jours mais trouver ou retrouver facilement les commandes nécessaires ne peut pas faire de mal.
Je vais juste commencer avec deux exemples très simples. Si vous avez des compléments à apporter ou d'autres commandes à ajouter, vous êtes les bienvenus.

Pour consulter les logs récents qui se trouvent dans /var/log et dans /var/log/apt :

Code : Tout sélectionner

# grep -R "nom_du_paquet" /var/log/*

puis

Code : Tout sélectionner

# grep -R "nom_du_paquet" /var/log/apt/*

en root car tous les répertoires ne sont pas accessibles au simple utilisateur.

-R, -r, --recursive
Lire tous les fichiers à l'intérieur de chaque répertoire, récursivement. C'est équivalent à l'option -d recurse.

Pour rechercher parmi tous les logs, y compris ceux qui sont compressés sous forme de fichiers .gz

Code : Tout sélectionner

# zgrep "nom_du-paquet" /var/log/*

puis

Code : Tout sélectionner

# zgrep "nom_du-paquet" /var/log/apt/*

EDIT de lol: Ajout lien vers le wiki en début de post (désolé de l'intrusion et merci pour la belle page Wiki!).

[lol]

Salut,
Très important d'être capable de chercher dans ses logs...

Les journaux log sont stockés dans le répertoire /var/log/

Pour voir "en direct" des logs (tail -f):

Code : Tout sélectionner

# tail -f /var/log/auth.log

J'ajouterais qu'il est possible de "grepper" une commande grep.

Code : Tout sélectionner

# grep -r "dpkg" /var/log/* | grep erreur

Et avec une commande d'exclusion (grep -v => A l'exclusion de)

Code : Tout sélectionner

# grep -r "dpkg" /var/log/* | grep -v ejabberd

Dans quels fichiers de logs se trouve la chaine "dpkg" (-r recursive, -i insensible à la "casse", -l n'affiche pas tous les résultats, seulement le nom des fichiers)

Code : Tout sélectionner

# grep -r -i -l 'dpkg' /var/log/

Pour conserver dans un fichiers les résultats recherches, on ajoute ceci en fin de commande:
> /tmp/ma_recherche_dpkg.log

Code : Tout sélectionner

# grep -r -i -l 'dpkg' /var/log/ > /tmp/ma_recherche_dpkg.log

Avoir les 20 dernières lignes d'un fichier log:

Code : Tout sélectionner

# tail -n 20 /var/log/messages

Avoir les 20 dernières lignes d'une recherche avec grep:

Code : Tout sélectionner

# grep -r "dpkg" /var/log/* | tail -n 20

[wetaskiwin]

J'avais bien conscience de débuter, dans la consultation des logs mais alors là... je me sens toute petite, d'un seul coup !
En tout cas, merci, je vais pouvoir faire plein d'essais pour adapter les diverses commandes et en voir le résultat par rapport à ce que je cherchais.

[thuban]

Je rajoute souvent less après une commande, par exemple :

Code : Tout sélectionner

tail -n 20 /var/log/messages |less 

Ça permet de pouvoir rechercher dans le texte facilement "à la vim" : "/recherche"

[lol]

Dans quels logs chercher ???

1. /var/log/alternatives.log - Les logs de "update-alternatives" sont enregistrées dans ce fichier journal.
2. /var/log/apache2/* - Touts les logs du serveur http apache2
3. /var/log/apt/* - Tous les logs de apt (Vous y trouverez tous les paquets installés avec apt-get install par exemple).
4. /var/log/aptitude - Les logs d'aptitude. Contient seulement les actions demandées.
5. /var/log/auth.log - Contient les informations d'autorisation de système. Y sont consignées toutes les connexions (réussies ou pas) et la méthode d'authentification utilisée.
6. /var/log/bind.log - Si les logs du serveur de nom bind9 sont activés ils seront inscrits ici
7. /var/log/boot.log - Contient des informations qui sont enregistrés lors du démarrage du système. Ce fichier n'est pas activé par défaut.
8. /var/log/btmp - Semblable à /var/log/wtmp, affiche les connexion/déconnexions au système # lastb Alors que # last lira le fichier /var/log/wtmp
9. /var/log/cups/* - Tous les logs du système d'impression cups
10. /var/log/cron - Chaque fois que le démon cron (ou anacron) commence une tâche cron, il enregistre les informations sur la tâche cron dans ce fichier
11. /var/log/daemon.log - Contient informations enregistrées par les différents daemons (processus) de fond qui fonctionne sur le système
12. /var/log/debug - Logs de debuging...
13. /var/log/dmesg - Contient les messages du le noyau Linux depuis le démarrage.
14. /var/log/dpkg.log - Contient des informations qui sont enregistré lorsqu'un paquet est installé ou retiré en utilisant la commande dpkg
15. /var/log/fail2ban.log - Si fail2ban est installé sur votre machine, contient les Ban/Unban et infos sur le programme (Error, Info, etc.).
16. /var/log/faillog - Journal des échecs de connexion. # faillog -u root
17. /var/log/kern.log - Contient informations enregistrées par le noyau. Utile pour déboguer un noyau personnalisé par exemple.
18. /var/log/lastlog - Affiche les informations de connexion récente de tous les utilisateurs. Ce n'est pas un fichier ascii. Vous devez utiliser la commande lastlog pour afficher le contenu de ce fichier.
19. /var/log/mail.* - Ces fichiers contiennent les informations du serveur de messagerie. Par exemple, sendmail enregistre des informations sur tous les éléments envoyés dans ces fichiers.
20. /var/log/messages - Contient les messages du système, y compris les messages qui sont enregistrés au démarrage. Beaucoup de choses sont enregistrés dans /var/log/ messages y compris le courrier, cron, daemon, kern, auth, etc.
21. /var/log/syslog - Est plus complet que /var/log/messages, il contient tous les messages, hormis les connexions des utilisateurs.
22. /var/log/user.log - Contient des informations sur tous les journaux de niveau utilisateur
23. /var/log/wtmp - Le fichier wtmp enregistre toutes les connexions et déconnexions: last -f /var/log/wtmp
24. /var/log/Xorg.x.log - Connexion des messages du serveur X. N'existe pas sur un serveur.

J'en ai oublié et j'ai fait des erreurs, sûrement...
Merci de me corriger/compléter!

[lol]

Aller, un autre petit truc...
Voir les logs en couleur!

Code : Tout sélectionner

# apt-get install ccze

Utilisation:

Code : Tout sélectionner

# tail -10 /var/log/syslog | ccze -A

Capture du 2016-05-22 11-50-55.png

[wetaskiwin]

Code : Tout sélectionner

# zgrep "nom_du_paquet" /var/log/apt/history*

donne la ou les listes de tous les paquets où se trouve celui que je cherche. Quand la liste est longue ou qu'il y en a plusieurs, ce n'est pas très pratique. Est-ce qu'il y a moyen de trier ça mieux ?

[lol]

Salut,
Je ne comprend pas vraiment ce que tu cherche. Tu peux préciser ?

Remarque:

Code : Tout sélectionner

# grep "apt" /var/log/apt/history.log

et

Code : Tout sélectionner

# zgrep "apt" /var/log/apt/history.log*gz

Commence par history.log (avec grep) et si ce n'est pas suffisant (du point de vue historique), remonte les gz "anciens" avec zgrep.

[wetaskiwin]

Un exemple sera plus causant :

Code : Tout sélectionner

grep "kajongg" /var/log/apt/history.log
Remove: kdepimlibs-kio-plugins:amd64 (4.14.2-2+b1), libakonadi-notes4:amd64 (4.14.2-2+b1), libqoauth1:amd64 (1.0.1-2), libkolabxml1:amd64 (1.1.0-3), kajongg:amd64 (4.14.1-1), libkmbox4:amd64 (4.14.2-2+b1), libproxy1:amd64 (0.4.11-4+b2), python-kde4:amd64 (4.14.0-1), kde-window-manager:amd64 (4.11.13-2), plasma-widgets-workspace:amd64 (4.11.13-2), klipper:amd64 (4.11.22-3), libakonadi-calendar4:amd64 (4.14.2-2+b1), plasma-scriptengine-python:amd64 (4.11.22-2), plasma-dataengines-workspace:amd64 (4.11.13-2), plasma-scriptengines:amd64 (4.11.22-2), libkcalutils4:amd64 (4.14.2-2+b1), plasma-desktop:amd64 (4.11.13-2), libkactivities-bin:amd64 (4.13.3-1), plasma-widget-lancelot:amd64 (4.14.2-1), kde-workspace-data:amd64 (4.11.13-2), libkolab0:amd64 (0.6.0-1), libkalarmcal2:amd64 (4.14.2-2+b1), libqalculate5:amd64 (0.9.7-9), kdepim-runtime:amd64 (4.14.2-3)

Kajongg est un peu noyé dans la seule liste obtenue mais pas trop difficile à retrouver. J'ai abandonné l'exemple avec apt, vu le nombre de paquets affichés.
Ce que je voudrais, c'est que le kajongg de l'exemple s'affiche tout seul pour mieux le trouver si je l'ai mis à jour plusieurs fois depuis le début du mois en cours ou si je le cherche également dans les history.log.X.gz.

[lol]

Difficile de faire mieux.
kajongg se trouve dans une ligne qui contient plein d'autres paquets.
Tu peux "colorier" kajong pour que la recherche soit moins fastidieuse...

Je suis sur que ça va te plaire...

Code : Tout sélectionner

grep --color=always "kajongg" /var/log/apt/history.log

[sv0t]

Code : Tout sélectionner

grep --color=always ""

excellent :002:

[vv222]

Tellement pratique que j’en ai fait un alias :

Code : Tout sélectionner

$ alias grep
alias grep='grep --color=auto'

[wetaskiwin]

kajongg se trouve dans une ligne qui contient plein d'autres paquets.

Si la liste obtenue est considérée comme une seule ligne et que les espaces comptent eux aussi comme un caractère, ça explique le fouillis final.
Avec la couleur, c'est exactement ce qu'il me faut. :041:

Il reste quand même que je n'aime pas les log history, on dirait la fameuse meule de foin dans laquelle tout le monde va chercher une aiguille. La prochaine fois, je commencerai par les dpkg.

[wetaskiwin]

Tellement pratique que j’en ai fait un alias :

Code : Tout sélectionner

$ alias grep
alias grep='grep --color=auto'

On peut même changer la couleur ?
http://askubuntu.com/questions/575673/g ... -highlight

[lol]

Ben oui!
Y’a pas "pink" dans son bash...

[wetaskiwin]

Le rouge que j'ai obtenu avec --color=always me convenait.
N'empêche, la créativité des humains est totalement rafraîchissante.

[wetaskiwin]

J'avais zappé ccze. C'est pas bien !
Combiné avec --color=always pour retrouver un paquet aux multiples mises à jour, il facilite grandement les recherches. Ça ne va pas servir tous les jours mais on ne sait jamais.

Code : Tout sélectionner

# zgrep --color=always  "libvlccore8" /var/log/apt/history* | ccze -A

Dans l'extrait que j'ai copié, le paquet et l'indication d'un des fichiers log dans lequel il se trouve sont affichés très clairement, tout beaux, tout propres.

[piratebab]

Bon, allez,qui fait une synthése de tout ça dans le wiki ?

[wetaskiwin]

Il vaut mieux que ça ne soit pas moi, je suis une catastrophe ambulante, pour le wiki.

[lol]

Je le ferais bien, mais j'ai déjà du retard sur pas mal de sujets...