51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

企业日志分析之Linux系统history收集展示

作者:吟—技术交流
系统 Linux 系统运维
最近一方面给自己开发的平台套模板,一方面研究一些新的技术,比如今天介绍的elk,下面介绍一下我是如何使用elk收集linux系统history与展示。

[[152425]]

【引自吟—技术交流的博客】最近一方面给自己开发的平台套模板,一方面研究一些新的技术,比如今天介绍的elk,下面介绍一下我是如何使用elk收集linux系统history与展示。

一、效果图

下面是效果图,感觉满足你需求再继续看。

下面是具体介绍:

1.Linux系统历史命令数据总量

主要是展示所选时间段接收history数据总量,比如昨天我总共收集了1002条数据。

2.Linux系统历史命令监控主机数量

主要是监控总共有多少台主机开始收集history日志数据。

3.LInux系统历史命令运行最多Top5

主要是介绍运行最多的命令,比如***个ll命令运行最多。

4.Linux系统历史命令登陆主机Top5

主要是介绍登陆主机ip最多的前5个。

5.Linux系统历史命令时间数据总量

wKiom1YfAqPzRkB7AAHNlXSdpH0389.jpg

主要介绍各时间段收集的数据总量。

6.Linux系统历史命令数据

wKiom1YfAtTRHQGuAAQFedGroNw800.jpg

主要是展示每条收集数据内容,包括收集时间、收集的主机名、当前登陆ip、登陆用户、当前用户、运行命令。

二、logstash安装

我使用的elk架构如下:

wKioL1YfA1_zpefQAAFY7Lj_vh0308.jpg

ps:这个图是网上找的。

我的elk版本分别为:

◆logstash 1.5.4-1

◆redis 3.0.4

◆elasticsearch 1.7.1

◆kibana 4.1.1

下面介绍如何安装elk。

其实shipper与indexer的logstash安装一样,只不过是配置文件不一样。

先介绍如何安装logstash。

我使用yum安装,下面是安装yum源。

  1. cat >>/etc/yum.repos.d/logstash.repo<EOF 
  2. [logstash-1.5] 
  3. name=Logstash repository for 1.5.x packages 
  4. baseurl=http://packages.elasticsearch.org/logstash/1.5/centos 
  5. gpgcheck=1 
  6. gpgkey=http://packages.elasticsearch.org/GPG-KEY-elasticsearch 
  7. enabled=1 
  8. EOF 

然后安装。

yum install logstash -y

下面是shipper的配置。

这个配置就是收集/var/log/command.log的日志,这个日志是记录history命令的,output输出到redis服务。

#p#

下面是如何记录history历史命令,在/etc/bashrc里添加:

  1. cat >>/etc/bashrc<<EOF 
  2. HISTDIR='/var/log/command.log' 
  3. if [ ! -f $HISTDIR ];then 
  4. touch $HISTDIR 
  5. chmod 666 $HISTDIR 
  6. fi 
  7. export HISTTIMEFORMAT="{\"TIME\":\"%F %T\",\"HOSTNAME\":\"$HOSTNAME\",\"LI\":\"$(who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g')\",\"LU\":\"$(who am i|awk '{print $1}')\",\"NU\":\"${USER}\",\"CMD\":\"" 
  8. export PROMPT_COMMAND='history 1|tail -1|sed "s/^[ ]\+[0-9]\+  //"|sed "s/$/\"}/">> /var/log/command.log' 
  9. EOF 

然后source /etc/bashrc。

查看一下/var/log/command.log。

wKiom1YfBVCj7xakAAiv_doGFP0568.jpg

这是一个json格式的,包括时间、主机名、登陆ip、登陆用户、当前用户、命令。

下面是indexer的配置:

  1. 09:25:19 # cat /etc/logstash/conf.d/logstash_indexer.conf 
  2. input { 
  3.   redis { 
  4.     host => "10.10.125.8" 
  5.     port => "6379" 
  6.     data_type => "list" 
  7.     key => "logstash:redis" 
  8.     type => "redis-input" 
  9.   } 
  11. output { 
  12.     elasticsearch { 
  13.       host =>"172.16.3.72" 
  14.       codec => "json" 
  15.       protocol => "http" 
  16.     } 
  17.     stdout {} 

其中10.10.125.8是redis服务器,172.16.3.72是elasticsearch的ip。

启动的话就使用/etc/init.d/logstash start。

三、redis安装

1.下载

  1. wget http://download.redis.io/releases/redis-3.0.4.tar.gz 

2.解压

  1. tar zxvf redis-3.0.4.tar.gz -C /usr/local

3.安装

  1. cd /usr/local/redis-3.0.4 
  2. make 

4.复制程序变量

  1. cp src/redis-cli /usr/bin 
  2. cp src/redis-server /usr/bin 

5.创建目录

  1. mkdir conf log db data 

6.配置文件

  1. [root@ip-10-10-125-8 redis-3.0.4]# cat conf/redis-6379.conf |grep -v "^#"|sed '/^$/d' 
  2. daemonize yes 
  3. pidfile /var/run/redis_6379.pid 
  4. port 6379 
  5. bind 10.10.125.8 
  6. timeout 0 
  7. tcp-keepalive 0 
  8. loglevel notice 
  9. logfile /var/log/redis/redis_6379.log 
  10. databases 16 
  11. save 900 1 
  12. save 300 10 
  13. save 60 10000 
  14. stop-writes-on-bgsave-error yes 
  15. rdbcompression yes 
  16. rdbchecksum yes 
  17. dbfilename redis_6379.rdb 
  18. dir /usr/local/redis-3.0.4/db/ 
  19. slave-serve-stale-data yes 
  20. slave-read-only yes 
  21. repl-disable-tcp-nodelay no 
  22. slave-priority 100 
  23. appendonly no 
  24. appendfsync everysec 
  25. no-appendfsync-on-rewrite no 
  26. auto-aof-rewrite-percentage 100 
  27. auto-aof-rewrite-min-size 64mb 
  28. lua-time-limit 5000 
  29. slowlog-log-slower-than 10000 
  30. slowlog-max-len 128 
  31. hash-max-ziplist-entries 512 
  32. hash-max-ziplist-value 64 
  33. list-max-ziplist-entries 512 
  34. list-max-ziplist-value 64 
  35. set-max-intset-entries 512 
  36. zset-max-ziplist-entries 128 
  37. zset-max-ziplist-value 64 
  38. activerehashing yes 
  39. client-output-buffer-limit normal 0 0 0 
  40. client-output-buffer-limit slave 256mb 64mb 60 
  41. client-output-buffer-limit pubsub 32mb 8mb 60 
  42. hz 10 
  43. aof-rewrite-incremental-fsync yes 

7.启动redis

  1. redis-server /usr/local/redis-3.0.4/conf/redis-6379.conf 

四、安装elasticsearch

1.安装

  1. curl -L -O https://download.elastic.co/elasticsearch/elasticsearch/elasticsearch-1.7.1.zip 
  2. unzip elasticsearch-1.7.1.zip 
  3. cd  elasticsearch-17.1 

2.配置

  1. 09:52:38 # grep -v "^#" config/elasticsearch.yml |sed '/^$/d' 
  2. cluster.name: dl-elk 
  3. node.name"elk-bj-1-server" 
  4. node.master: true 

就配置了集群命令与节点名字。

3.启动

  1. bin/elasticsearch -d 

这样elk就都安装完成了,我也没写的太详细,大家有需求可以自己查看官方介绍安装。

附件里我把我的Dashboard与相应视图都export了,大家需要可以自行import,但一定注意版本。

导入的顺序是:

1.Linux系统历史命令图形.json;

2.Linux系统历史命令搜索.json;

3.Linux系统历史命令数据视图.json.

本文出自 “吟—技术交流” 博客,请务必保留此出处http://dl528888.blog.51cto.com/2382721/1703059

责任编辑:火凤凰 来源: 51CTO博客
history企业日志Linux
相关推荐
企业日志分析Linux系统message收集展示
之前写了收集Linux系统历史history命令,下面介绍一下系统里日志收集与展示的内容。老规矩,先看效果,满意的话继续看。

2015-10-27 15:54:29

message日志分析Linux
Graylog2:从Nginx收集日志并在Grafana中展示分析
本文讨论了在Graylog2系统中收集Nginx日志的可能性,以及如何在Grafana中进行展示与分析。

2020-09-02 08:03:28

NginxGrafana日志
如何分析Linux日志
本文介绍一些你现在就能做的基本日志分析例子(只需要搜索即可),还将涉及一些更高级的分析。对数据进行高级分析的例子包括生成汇总计数、对有效值进行过滤等等。首先会向你展示如何在命令行中使用多个不同的工具,然后展示了一个日志管理工具如何能自动完成大部分繁重工作从而使得日志分析变得简单。

2015-08-03 15:48:22

Linux日志
Linux如何分析和排查系统故障——分析日志文件
在处理Linux系统出现的各种故障时,故障的症状是最易发现的,而导致这一故障的原因才是最终排除故障的关键。熟悉Linux系统中常见的日志文件,了解一般故障的分析与解决办法,将有助于管理员快速定位故障点,"对症下药",及时解决各种系统问题。

2018-11-26 08:40:43

windows系统日志分析
日志文件对我们如此重要,因此不能忽视对它的保护,防止发生某些“不法之徒”将日志文件清洗一空的情况。那么怎么才能预防这种事情发生,请看

2011-11-21 15:35:49

日志分析
四款开源日志收集工具简介及特点分析
本文讨论了市面上流行的几款日志收集工具(包括Logstash、Fluentd、FluentBit和Vector)及其主要特点。

2022-02-18 15:19:52

日志收集工具开源
使用Loki promtail 收集Linux原生部署应用日志
Promtail是Loki的客户端代理,它负责在Linux服务器上收集日志。通过在每个Linux服务器上安装和配置Promtail,我们可以将业务系统的日志数据发送到Loki进行集中存储和分析。

2024-03-11 00:01:00

PromtailLoki服务器
日志分析工具Awstats实战Apache篇:多站点日志分析
带大家了解如何去部署nginx下的awstats日志分析工具后,现在终于轮到apache。作为老牌的网页服务器,awstats对apache的支持非常完美,所以整个配置过程也是十分简单。本文拓展了一下部署相关知识,实现了对多站点的日志分析功能,希望能给大家带来帮助。

2013-11-01 10:43:35

日志分析Awstats实战Apache
Sosreport:收集Unix系统日志和诊断信息的工具
如果你是RHEL管理员,你可能肯定听说过Sosreport:一个可扩展、可移植的支持数据收集工具。它是一个从类Unix操作系统中收集系统配置详细信息和诊断信息的工具。当用户提出支持服务单时,他她必须运行此工具并将由Sosreport工具生成的结果报告发送给RedHat支持人员。

2018-07-09 15:03:17

LinuxUnixSosreport
中科红旗展示移动平台Linux系统
『09IDF』备受期待的2009年春季英特尔信息技术峰会(IDF)将于4月8日在北京举行。

2009-04-09 16:59:39

Linux中科红旗移动平台
应急响应远程软件日志分析
在日常分析过程中,可结合上述特征进行分析定位异常。同时要注意各个版本之间的日志变化情况。日志格式并不是一成不变的。也可以通过模拟各种常见场景,提取行为特征。毕竟实践才是检验真理的唯一标准。

2023-07-07 06:53:56

远程软件日志向日葵
Linux系统性能调优性能分析
性能调优是一个非常困难的任务,它要求对硬件、操作系统、和应用都有着相当深入的了解。下面从性能分析工具vmstat的用法和实践进行详细介绍。

2013-03-20 17:18:07

Linux系统性能调优
windows 系统日志里的DCOM错误日志分析
最近一个客户的服务器出现死机现象,上去看了下日志,里面有很多的DCOM错误日志,也不知道是不是死机的原因,先处理了再说

2011-11-21 17:20:02

DCOM错误日志
技术展示:综合布线系统的设计分析
综合布线是一种模块化的、灵活性极高的建筑物内或建筑群之间的信息传输通道。它既能使语音、数据、图像设备和交换设备与其它信息管理系统彼此相连,也能使使这些设备与外部相连接。

2015-07-06 13:56:03

综合布线布线技术
iOS 使用 Metrickit 收集崩溃日志
MetricKit是苹果在iOS13系统开始引入的用来汇总和分析有关异常和崩溃诊断以及电源和性能指标的每个设备的报告。当前市面上的开源框架,如KSCrash,PLCrashReport等框架都有一些崩溃不能抓取。

2022-05-11 10:58:11

MetricKitiOS13系统崩溃诊断
日志收集工具 Fluentd 使用教程
Fluentd有多种安装方式,比如可以通过Docker或者手动进行安装,在手动安装Fluentd之前,请确保你的环境已正确设置,以避免以后出现任何不一致。

2022-06-12 21:28:26

Fluentd开源
Linux系统巧用NMAP来收集主机信息
NMAP自从在红帽Linux中出现后,就迅速流传开来,成为Linux网络工程师与系统管理员不可缺少的工具之一。通过这个工具可以用来判断网络布局、主机打开的端口与服务等等。

2009-09-04 11:00:29

如何使用syslog-ng从远程Linux机器上收集日志
如果你的数据中心全是Linux服务器,而你就是系统管理员。那么你的其中一项工作内容就是查看服务器的日志文件。但是,如果你在大量的机器上去查看日志文件,那么意味着你需要挨个去登入到机器中来阅读日志文件。如果你管理的机器很多,仅这项工作就可以花费你一天的时间。

2018-03-09 09:15:16

Linuxsyslog-ng日志
windows安全日志分析logparser篇
工作过程中,尤其是应急的时候,碰到客户windows域控被入侵的相关安全事件时,往往会需要分析windows安全日志,此类日志往往非常的大;此时,高效分析windows安全日志,提取出我们想要的有用信息,就显得尤为关键。

2015-07-31 10:57:01

安全日志windows安全日志安全日志分析
2023 NVIDIA 初创企业展示 · 半程展示圆满收官​
10月19日–10月20日,由NVIDIA主办的NVIDIA初创企业展示·半程展示在雅安大数据产业园成功举办。​

2023-10-25 16:59:11

NVIDIA
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服