Forum Linux.redhat Trouver source d'un log

Posté par cterra1 le 28 octobre 2015 à 11:15. Licence CC By‑SA.

Étiquettes :

oct.

2015

Bonjour,

Je viens de commencer dans une très grande entreprise française connu.
Ils ont développé leur propre outil de monitoring (type Nagios).
Cependant plusieurs personnes se sont relayés sur ce développement, et l'organisation logique de certain script est devenu assez aléatoire …
Existe t-il une solution simple pour savoir quel script a généré mon log ?

je fais d'énorme find /data -name "*" -exec grep -Hn "nomdefichier" {} \;

en espérant trouver le fichier qui possède la ligne "> nomdefichier" dans les résultat.

Mais cela prend énormément de ressource, car je dois travailler sur plusieurs centaines de giga et en plus le nom de mon log n'est pas toujours en clair dans le script car souvent il est de la form "> $site-$environement-monlog.log".

A l'aide,

Merci.

# lsof

Posté par NeoX le 28 octobre 2015 à 11:30. Évalué à 6.
si le script ecrit actuellement dans le log,
un simple lsof /chemin/vers/fichier.log devrait te dire qui ce sert de ce fichier.

ex chez moi
```
monshell# sudo lsof /var/log/messages 
COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
syslog-ng 1068 root   17w   REG    8,5   660061  392 /var/log/messages
```

# rahh

Posté par cterra1 le 28 octobre 2015 à 11:51. Évalué à 1.

Oui je connais cette commande, mais je ne pense pas que cela m'aidera, un crontab est planifié tous les matins, il lance une dizaine de script qui lancent chacun quelques scripts ,qui lancent des scripts …. sur 1200 machines et à la fin un script met à jour mon fichier, donc j'aurai du mal à prévoir le moment exact pour planifier mon lsof avec un "at" …

Peut on auditer l'accès au fichier comme avec lsof mais sur plusieurs minutes ?

[^] # Re: rahh

Posté par NeoX le 28 octobre 2015 à 12:18. Évalué à 5.

en bourrinant ?

watch -n10 lsof /var/log/messages

va lancer lsof toutes les 10 secondes et comme lsof ne renvoie rien s'il n'a rien trouver, tu devrais avoir ton resultat

de plus il prend aussi les wildcards, par exemple

lsof /var/log/monappli/*

du coup si tu fais un watch avant de partir, ou lancer juste avant le demarrage des crons, que tu rediriges vers ton propre fichier de log (dans un autre dossier), tu dois pouvoir obtenir une liste de fichier utilisés et par quelles applis.

ex chez moi

COMMAND     PID   USER   FD   TYPE DEVICE SIZE/OFF   NODE NAME
check_cur   373 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
check_snm   437 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
check_snm   462 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
check_snm   469 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
check_snm   485 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
check_snm   615 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
check_snm   617 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
check_snm   618 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
check_snm   619 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
tail: /tmp/monlog: file truncated
COMMAND     PID   USER   FD   TYPE DEVICE SIZE/OFF   NODE NAME
syslog-ng  1068   root   17w   REG    8,5   869159    392 /var/log/messages
sed        3225 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
sed        3320 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
sed        3410 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
sed        4661 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
sed        4750 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
sed        4752 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
sed        4753 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
sed        4754 nagios  cwd    DIR  253,0     4096 131074 /data/log/nagios
[...]

y a plus qu'à faire un peu de nettoyage…
comme ne recuperer que la colonne 1 et 9 (script, log)
ou bien 1, 3 et 9 (script, utilisateur, log)
classer et supprimer les doublons

et ca donne :

monshell#awk '{print $1";"$3";"$9}' /tmp/monlog | sort -u
COMMAND;USER;NAME
sed;nagios;/data/log/nagios
syslog-ng;root;/var/log/messages

[^] # Avec un pipe nommé ?

Posté par chimrod (site web personnel) le 28 octobre 2015 à 16:30. Évalué à 3.

Est-ce qu'il n'est pas possible de remplacer ton fichier par un pipe nommé, qui serait lu par un programme qui resterai en tâche de fond.

Dès que le processus écrit dans les logs, le programme détecte des données sur l'entrée standard et lance le lsof pour savoir qui est en train d'écrire.

Je propose l'idée mais je n'ai pas expérimenté…
[^] # Re: rahh

Posté par Xavier Combelle (site web personnel) le 31 octobre 2015 à 14:14. Évalué à 1.

Peut on auditer l'accès au fichier comme avec lsof mais sur plusieurs minutes ?

oui avec sysdig

# C'est du peut être...

Posté par orel le 28 octobre 2015 à 13:25. Évalué à 7.

…mais tu peux tenter ta chance avec inotifywait et essayer un truc du genre :

inotifywait -e modify /chemin/vers/le/log && lsof /chemin/vers/le/log

J’avoue, je n'ai jamais testé.

inotify sur linuxfr
detecting-which-process-is-creating-a-file
# non

Posté par cterra1 le 28 octobre 2015 à 14:23. Évalué à 2.

Oui mais je ne peux pas installer ce que je veux, je suis sur de la prod, et on utilise des versions qui doivent être validées, et pareil pour les applications, choses qui peut prendre très longtemps …

Sinon j'aurai testé auditdb …
- [^] # Re: non
  
  Posté par NeoX le 28 octobre 2015 à 15:35. Évalué à 6.
  
  je penses que tu voulais repondre à la proposition inoitifywait.
  
  pour repondre à une personne, il faut cliquer sur "repondre" en dessous de son post,
  et non sur "poster un commentaire" qui va repondre au post initial

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.