RHCE培训课堂实验-34 指导练习-查看系统日志条目

红帽系统管理1-学员练习册-11分析和存储日志.pdf—P347

在本练习中，您将在系统日志中搜索记录符合特定条件的事件的条目。

目标:

您应能够在系统日志中搜索基于不同条件记录事件的条目。

练习准备工作：

以student用户身份并使用student作为密码登录workstation。

在workstation上，运行lab log-query start命令。此脚本会确保环境设置正确无误。

[student@workstation ~]$ lab log-query start
 

1 从workstation,以student用户身份打开连接servera的SSH会话。

[student@workstation ~]$ ssh student@servera
 

2 将_PID=1匹配项与journalctl命令搭配，以仅显示源自servera上使用进程标识符1运行的systemd进程的日志事件。要退出journalctl,请按q键。

[student@servera ~]$ journalctl _PID=1
 

注意:

journalctl命令可能会在您的系统上生成不同的输出。

3 将_UID=81匹配项与journalctl命令搭配，以显示源自servera上通过用户标识符81启动的系统服务的所有日志事件。要退出journalctl,请按q键。

[student@servera ~]$ journalctl _UID=81
 

4 将-p warning选项与journalctl命令搭配，以显示servera上优先级为warning及以上的日志事件。要退出journalctl,请按q键。

[student@servera ~]$ journalctl -p warning
 

5 显示servera上自当前时间起的过去10分钟内记录的所有日志事件。

5.1 将–since选项与journalctl命令搭配使用，显示servera上过去10分钟内记录的所有日志事件。要退出journalctl, 请按q键。

[student@servera ~]$ journalctl --since "-10min"
 

6 将–since选项及_SYSTEMD_UNIT=”sshd.service”匹配项与journalctl命令搭配，以显示servera上源自从今天上午09:00:00起记录的sshd服务的所有日志事件。要退出journalctl,请按q键。

[student@servera ~]$ journalctl --since 09:00:00 _SYSTEMD_UNIT="sshd.service"
 

7 从servera注销。

[student@servera ~]$ exit
 

完成

在workstation上，运行lab log-query finish来完成本练习。此脚本会确保环境重新恢复到清理干净的状态。

[student@workstation ~]$ lab log-query finish
 

本引导式练习到此结束。

扫码添加教务-杨老师微信号，备注“红帽”，可免费领取实验环境和完整的PDF技术资料。