Miesięcznik informatyków i menedżerów IT sektora publicznego

Kamil Folga

Analiza dzienników zdarzeń

Linux wykonuje wiele procesów, które wykorzystują systemowe zasoby. Procesy generowane są przez system i serwery usług. Informacje o ich działaniu, przekazywane przez komunikaty, zapisują się w dziennikach zdarzeń, które administrator powinien analizować.

Dzienniki zdarzeń są niezbędne w pracy każdego administratora. Ilość oraz różnorodność logowanych informacji jest ogromna. W systemie Linux zdarzenia są magazynowane w plikach tekstowych, co dodatkowo utrudnia ich analizę. Istnieją jednak narzędzia, które ułatwiają przeglądanie dzienników, np. GoAccess oraz Splunk Log Analyzer. GoAccess to analizator logów serwera Apache, natomiast Splunk Log Analyzer to narzędzie do magazynowania i analizy różnego typu dzienników zdarzeń, pracujące w rozproszonym środowisku.

Logi w Linuksie

Dzienniki zdarzeń w systemie Linux to zarejestrowane zdarzenia systemu operacyjnego, aplikacji i usług, uporządkowane zgodnie z linią czasu. Przechowywane są w postaci plików tekstowych, zazwyczaj w katalogu /var/log. Folder ten zawiera znaczącą liczbę plików z informacjami o każdej aplikacji oraz katalogi dla szczegółowych dzienników zdarzeń wybranych aplikacji. Najłatwiej odczytać plik z dziennikami zdarzeń, wykonując jedno z poleceń (w zależności czy plik jest skompresowany lub nie):

# cat /var/log/nazwa_pliku_dziennika

# zcat /var/log/nazwa_pliku_dziennika.gz

Jeżeli chcielibyśmy przeglądać dzienniki zdarzeń w trybie rzeczywistym, należy wykonać polecenie tail -f /var/log/nazwa_pliku_dziennika. Z kolei wyszukiwanie w plikach zrealizujemy komendą cat /var/log/nazwa_pliku_dziennika | grep wyszukiwana_fraza. Logi można też analizować w czasie rzeczywistym za pomocą wyrażenia:

# tail -f /var/log/nazwa_pliku_\

dziennika | grep wyszukiwana_fraza

Każdy dziennik zdarzeń zawiera datę, nazwę hosta, nazwę aplikacji lub usługi, wiadomość lub komunikat. Dzienniki zdarzeń podlegają rotacji zgodnie z ustawieniami w pliku konfiguracyjnym /etc/logrotate.conf. Definiujemy w nim, z jaką częstotliwością będą tworzone pliki z dziennikami zdarzeń oraz jak długo będą przechowywane. Pojemność dyskowa systemów z usługami nie pozwala przeważnie na długie przechowywanie dzienników zdarzeń, a przeszukiwanie takich plików nie jest ani szybkie, ani elastyczne. Tu z pomocą przychodzą specjalne analizatory.

Co słychać w Apache

GoAccess to darmowy analizator dzienników zdarzeń serwera WWW. Nie przechowuje logów, ale ułatwia ich analizę. Bazuje na linii komend i generuje raporty w postaci pliku HTML, dostępne przez przeglądarkę. Statystyki zawierają informacje o najczęściej odwiedzających klientach, przepustowości, stronach odsyłających, systemach operacyjnych, przeglądarkach oraz innych metrykach wirtualnych hostów. Statystyki są prezentowane w różnych kolorach, co ułatwia analizę dzienników zdarzeń.

GoAccess wymaga spełnienia kilku zależności i doinstalowania pakietów umożliwiających kompilację, ponieważ został napisany w języku C. Pierwszą czynnością instalacyjną będzie zainstalowanie potrzebnych pakietów: apt-get install libncursesw5-dev gcc make libgeoip-dev libtokyocabinet-dev build-essential. Kolejnym krokiem będzie pobranie kodu źródłowego GoAccess, jego kompilacja i instalacja:

# wget http://tar.goaccess.io/goaccess-1.2.tar.gz

# tar -xzvf goaccess-1.2.tar.gz

# cd goaccess-1.2

# ./configure --enable-utf8 --enable-goip=legacy

# make

# make install

GoAccess korzysta z dzienników zdarzeń serwera Apache2 access.log. Po zainstalowaniu narzędzia należy określić format dzienników zdarzeń analizowanego pliku. Format może zostać ustawiony w pliku konfiguracyjnym GoAccess lub wskazany jako parametr przy wykonywaniu polecenia z linii komend. W przypadku standardowej konfiguracji serwera Apache2 należy wykonać polecenie:

[...]

Autor zawodowo zajmuje się informatyką ze specjalizacją w zakresie sieci bezprzewodowych oraz systemów transmisji głosu. Publikuje w magazynach komputerowych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma. Zapraszamy do składania zamówień na prenumeratę i numery archiwalne.
 
 

Polecamy

Biblioteka Informacja Publiczna

Specjalistyczne publikacje książkowe dla pracowników administracji publicznej

więcej