Remerciez-le!

Remerciez @Admin pour avoir partagé cet document gratuitement, de la manière la plus simple, en partageant sur les réseaux sociaux.

Travaux pratiques – Consulter les journaux du serveur Objectifs Partie 1 : Lire

Travaux pratiques – Consulter les journaux du serveur Objectifs Partie 1 : Lire des fichiers journaux à l'aide des programmes Cat, More et Less Partie 2 : Fichiers journaux et Syslog Partie 3 : Fichiers journaux et Journalctl Contexte/scénario Les fichiers journaux sont extrêmement utiles pour dépanner et surveiller les réseaux. Chaque application génère des fichiers journaux différents, avec des champs et des informations qui leur sont propres. Si la structure des champs peut varier selon les fichiers journaux, les outils utilisés pour les lire sont généralement les mêmes. Au cours de ces travaux pratiques, vous allez découvrir les outils couramment utilisés pour lire les fichiers journaux et apprendre à les utiliser. Ressources requises • Poste de travail virtuel CyberOps • Accès Internet Partie 1 : Lire des fichiers journaux à l'aide des programmes Cat, More, Less et Trail Les fichiers journaux enregistrent des événements spécifiques déclenchés par les applications, les services ou le système d'exploitation lui-même. Généralement stockés au format de texte clair, les fichiers journaux constituent une ressource indispensable aux opérations de dépannage. Étape 1 : Ouvrir les fichiers journaux Les fichiers journaux contiennent généralement des informations en texte clair qui peuvent être affichées par quasiment tous les programmes capables de gérer du texte (des éditeurs de texte, par exemple). Toutefois, pour des raisons de commodité, de simplicité d'utilisation et de vitesse, certains outils sont davantage utilisés que d'autres. Cette section se concentre sur quatre programmes de ligne de commande : cat, more, less et tail. cat, dérivé du mot « concaténer », est un outil de ligne de commande UNIX utilisé pour lire et afficher le contenu d'un fichier à l'écran. Le programme cat est très largement utilisé à ce jour en raison de sa simplicité d'utilisation et de sa capacité à ouvrir un fichier texte et à l'afficher sur un terminal prenant uniquement en charge du texte. a. Démarrez le poste de travail virtuel CyberOps et ouvrez une fenêtre du terminal. b. Dans la fenêtre du terminal, exécutez la commande suivante pour afficher le contenu du fichier logstashtutorial.log situé dans le dossier /home/analyst/lab.support.files/ : analyst@secOps ~$ cat /home/analyst/lab.support.files/logstash-tutorial.log Le contenu du fichier doit défiler dans la fenêtre du terminal, jusqu'à ce que tout le texte soit affiché. Quel est l'un des inconvénients à utiliser le programme cat avec des fichiers texte volumineux ?  Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 1 sur 7 www.netacad.com Travaux pratiques – Consulter les journaux du serveur Tout le contenu du fichier sera affiché donc ce qui rendra difficile sa lecture. ____________________________________________________________________________________ Un autre outil populaire d'affichage de fichiers journaux est more. Semblable au programme cat, more est un autre outil de ligne de commande UNIX capable d'ouvrir un fichier texte et d'afficher son contenu à l'écran. La principale différence entre cat et more réside dans le fait que le programme more prend en charge les sauts de page, ce qui permet à l'utilisateur d'afficher le contenu d'un fichier page par page. Il suffit d'appuyer sur la barre d'espace pour afficher la page suivante. c. À partir de la même fenêtre du terminal, exécutez la commande suivante pour afficher à nouveau le contenu du fichier logstash-tutorial.log. Nous utilisons cette fois-ci la commande more : analyst@secOps ~$ more /home/analyst/lab.support.files/logstash-tutorial.log Le contenu du fichier doit défiler dans la fenêtre du terminal jusqu'à ce que la première page soit affichée. Appuyez sur la barre d'espace pour passer à la page suivante. Appuyez sur Entrée pour afficher la ligne de texte suivante. Quel est l'inconvénient de la commande more ? Pas de possibilité de revenir sur les pages déjà affiché. ____________________________________________________________________________________ Exploitant les fonctionnalités des commandes cat et more, le programme less permet d'afficher le contenu d'un fichier page par page, avec la possibilité de revenir sur les pages précédemment affichées. d. À partir de la même fenêtre du terminal, exécutez la commande less pour afficher à nouveau le contenu du fichier logstash-tutorial.log : analyst@secOps ~$ less /home/analyst/lab.support.files/logstash-tutorial.log Le contenu du fichier doit défiler dans la fenêtre du terminal jusqu'à ce que la première page soit affichée. Appuyez sur la barre d'espace pour passer à la page suivante. Appuyez sur Entrée pour afficher la ligne de texte suivante. Utilisez les flèches haut et bas pour accéder aux différentes pages du fichier texte. Utilisez la touche « q » de votre clavier pour fermer l'outil less. e. La commande tail affiche la fin d'un fichier texte. Par défaut, la commande tail affiche les dix dernières lignes du fichier. Utilisez la commande « tail » pour afficher les dix dernières lignes du fichier /home/analyst/lab.support.files/logstash-tutorial.log. analyst@secOps ~$ tail /home/analyst/lab.support.files/logstash-tutorial.log 218.30.103.62 - - [04/Jan/2015:05:28:43 +0000] "GET /blog/geekery/xvfb-firefox.html HTTP/1.1" 200 10975 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)" 218.30.103.62 - - [04/Jan/2015:05:29:06 +0000] "GET /blog/geekery/puppet-facts- intomcollective.html HTTP/1.1" 200 9872 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)" 198.46.149.143 - - [04/Jan/2015:05:29:13 +0000] "GET /blog/geekery/disabling-batteryin- ubuntuvms.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+semicomplete %2Fmai n+%28semicomplete.com+-+Jordan+Sissel%29 HTTP/1.1" 200 9316 "-" "Tiny Tiny RSS/1.11 (http://tt-rss.org/)" 198.46.149.143 - - [04/Jan/2015:05:29:13 +0000] "GET /blog/geekery/solving-good- orbadproblems.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed %3A+semicomplete% 2Fmain+%28semicomplete.com+-+Jordan+Sissel%29 HTTP/1.1" 200 10756 "-" "Tiny Tiny RSS/1.11 (http://tt-rss.org/)" 218.30.103.62 - - [04/Jan/2015:05:29:26 +0000] "GET /blog/geekery/jquery- interfacepuffer.html%20target= HTTP/1.1" 200 202 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"  Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 2 sur 7 www.netacad.com Travaux pratiques – Consulter les journaux du serveur 218.30.103.62 - - [04/Jan/2015:05:29:48 +0000] "GET /blog/geekery/ec2-reserved- vsondemand.html HTTP/1.1" 200 11834 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)" 66.249.73.135 - - [04/Jan/2015:05:30:06 +0000] "GET /blog/web/firefox-scrollingfix.html HTTP/1.1" 200 8956 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A5376e Safari/8536.25 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 86.1.76.62 - - [04/Jan/2015:05:30:37 +0000] "GET /projects/xdotool/ HTTP/1.1" 200 12292 "http://www.haskell.org/haskellwiki/Xmonad/Frequently_asked_questions" "Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20140205 Firefox/24.0 Iceweasel/24.3.0" 86.1.76.62 - - [04/Jan/2015:05:30:37 +0000] "GET /reset.css HTTP/1.1" 200 1015 "http://www.semicomplete.com/projects/xdotool/" "Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20140205 Firefox/24.0 Iceweasel/24.3.0" 86.1.76.62 - - [04/Jan/2015:05:30:37 +0000] "GET /style2.css HTTP/1.1" 200 4877 "http://www.semicomplete.com/projects/xdotool/" "Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20140205 Firefox/24.0 Iceweasel/24.3.0" Étape 2 : Consulter les fichiers journaux de manière dynamique Dans certains cas, il est utile de consulter les fichiers journaux à mesure que des entrées y sont ajoutées. La commande tail -f s'avère alors extrêmement utile. a. Utilisez la commande tail -f pour suivre activement le contenu du fichier /var/log/syslog : analyst@secOps ~$ sudo tail –f /home/analyst/lab.support.files/logstashtutorial.log En quoi les sorties des commandes tail et tail -f diffèrent-elles ? Expliquez votre réponse. La commande tail ne fait qu’afficher les 10 dernières ligne et la commande tail -f en plus d’afficher les 10 dernières lignes affiche les logs en temps réelles. ____________________________________________________________________________________ b. Pour voir la commande tail -f en action, ouvrez une deuxième fenêtre de terminal. Organisez votre écran de manière à voir les deux fenêtres du terminal. Redimensionnez les fenêtres pour afficher les deux en même temps, comme indiqué dans l'image ci-dessous :  Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 3 sur 7 www.netacad.com Travaux pratiques – Consulter les journaux du serveur La fenêtre du haut exécute la commande tail -f pour surveiller le fichier /home/analyst/lab.support.files/logstash-tutorial.log. Utilisez la fenêtre du bas pour ajouter des informations sur le fichier surveillé. Pour optimiser l'affichage du contenu, sélectionnez la fenêtre du haut (celle qui exécute la commande tail -f) et appuyez plusieurs fois sur Entrée. Cela insérera quelques lignes entre le contenu actuel du fichier et les nouvelles informations à ajouter. c. Sélectionnez la fenêtre de terminal du bas et saisissez la commande suivante : [analyst@secOps ~]$ echo "ceci est une nouvelle entrée du fichier journal surveillé" >> lab.support.files/logstash-tutorial.log La commande ci-dessus ajoute le message « ceci est une nouvelle entrée du fichier journal surveillé » au fichier /home/analyst/lab.support.files/logstash-tutorial.log. Comme la commande tail -f surveille  Cisco et/ou ses filiales. Tous droits réservés. Informations confidentielles de Cisco Page 4 sur 7 www.netacad.com Travaux pratiques – Consulter les journaux du serveur actuellement le fichier, une ligne est ajoutée au fichier. La fenêtre du haut devrait afficher la nouvelle ligne en temps réel. d. Appuyez sur CTRL+C pour arrêter l'exécution de la commande tail -f et revenir à l'invite shell. e. Fermez l'une des deux fenêtres du terminal. Partie 2 : Fichiers journaux et Syslog En raison de leur grande utilité, les fichiers journaux sont généralement stockés sur le même ordinateur de surveillance. Syslog est un système conçu pour permettre aux périphériques d'envoyer leurs fichiers journaux sur un serveur centralisé, appelé serveur syslog. Les clients communiquent avec le serveur syslog via le protocole syslog. Syslog est largement déployé dans les entreprises et prend en charge la quasitotalité des plates-formes informatiques. Le poste de travail virtuel CyberOps génère des fichiers journaux associés au système d'exploitation et les transmet au serveur syslog. a. Utilisez la commande cat en tant que commande root pour répertorier le contenu du fichier /var/log/syslog. Ce fichier contient les entrées de journal qui sont générées par le système d'exploitation du poste de travail virtuel CyberOps et transmises au service syslog. analyst@secOps ~$ sudo cat /var/log/syslog.1 [sudo] password for analyst: Feb 7 13:23:15 secOps kernel: [ 5.458959] psmouse serio1: hgpk: ID: 10 00 64 Feb 7 13:23:15 secOps kernel: [ 5.467285] uploads/Industriel/ 7-3-2-5-lab-reading-server-logs.pdf