← До списку лабораторних по Linux
Повний опис / сценарій лабораторної:
Мета: навчитися швидко знаходити потрібні події у великих лог файлах не відкриваючи їх повністю у редакторі. Крок 1. Визначити великий лог файл для тесту. Пояснення: зазвичай це файли у /var/log наприклад syslog або лог веб сервера. Крок 2. Переглянути файл через less. Команда: sudo less /var/log/syslog Пояснення: використовуйте пошук вперед через косу риску та назад через знак питання. Крок 3. Використати tail для перегляду останніх рядків. Команда: sudo tail -n 50 /var/log/syslog Пояснення: tail зручний для швидкого перегляду кінця файла. Крок 4. Запустити tail у режимі стеження. Команда: sudo tail -f /var/log/syslog Пояснення: нові рядки будуть зʼявлятися у реальному часі. Крок 5. Імітувати появу нових подій у журналі. Пояснення: запустіть сервіс або виконайте дії які генерують лог запис. Крок 6. Стиснути копію лог файла через gzip. Команди: sudo cp /var/log/syslog ~/syslog_copy; gzip ~/syslog_copy Крок 7. Використати zgrep для пошуку у стисненому файлі. Команда: zgrep "error" ~/syslog_copy.gz | head Пояснення: zgrep дозволяє шукати без попередньої розпаковки. Крок 8. Показати останні рядки стисненого лог файла через zcat та tail. Команда: zcat ~/syslog_copy.gz | tail -n 20 Крок 9. Обговорити коли варто архівувати логи та як довго їх зберігати. Пояснення: баланс між вимогами безпеки, аудитом та обсягом диска. Крок 10. Міні звіт. Завдання: опишіть свою стратегію пошуку потрібної події у логах коли є тільки час інциденту та приблизна назва сервісу.