本節書摘來華章計算機《日志管理與分析權威指南》一書中的第1章 ,第1.3節,(美) anton a. chuvakin kevin j. schmidt christopher phillips 著 姚 軍 簡于涵 劉 晖 等譯更多章節内容可以通路雲栖社群“華章計算機”公衆号檢視。
下面我們來簡單看看你将會在本書的剩餘部分遇到什麼樣的事情。由于必須要有日志資訊,你才能從中擷取到有用的資訊,是以我們将關注生成日志資訊的一些事情,以及如何讓它們提供給你所需的東西。我們将會向你展示如何建構一個收集、歸檔和分析日志資料的基礎設施。在這個過程中,我們會提供真實的例子和案例研究。
我們将會詳細讨論unix和syslog資料,因為很多應用程式預設使用syslog,很多其他的應用程式也對其相容(例如大部分cisco和juniper的裝置都使用syslog)。并且,syslog是唯一具備向集中收集系統轉發日志消息的内建機制的跨平台日志記錄工具。但是,我們也會讨論在你的系統中可能使用的其他形式的日志。我們也肯定會談到windows的日志記錄,主要是關于将你的windows日志資料放入集中化基礎設施的内容。
如果你是程式員,我們專門為你準備了一整章。坦率地說,分析日志消息最大的一個問題就是大部分日志的品質低下,沒有包含任何可用于有用操作的資訊。如果從一開始就提高日志品質,它的使用就會簡單得多。我們來看看下面這條日志消息的例子:
這條消息有什麼問題嗎?它很能說明問題,不是麼?它告訴我們有一個向遠端登入服務的連接配接被拒絕了。除了沒有年份、沒有時區這些令人煩惱的事情之外,如果它能告訴我們從哪裡發出的連接配接被拒絕,會不會更好一點?如果告訴我們連接配接被拒絕的原因會不會更好一點?如果你隻是在診斷和測試,那麼這條日志消息并不是那麼糟。但是如果你正在為某些人攻擊了你的系統而檢視日志,知道攻擊從哪裡發起顯然會更有用。
現在來考慮下面這條日志消息:
是不是好了很多?
下面是一條實際上沒什麼用處的消息(這可不是我們編造出來的):
也許它對核心開發者的确有某些意義,但在其他方面沒有什麼幫助,它就跟下面的日志一樣:
在我們為程式員準備的章節中,并不是僅僅抱怨這些糟糕的日志消息,而是對如何提高應用程式生成的日志品質提供很多有用的建議。