[转]messages日志中频繁出现的Session信息过滤方法

最新推荐文章于 2025-08-20 11:36:27 发布
原创 最新推荐文章于 2025-08-20 11:36:27 发布 · 1.5k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在Redhat Linux7中过滤/var/log/messages中的systemd会话和切片相关日志,通过配置rsyslog并重启服务,有效减少无关紧要的日志输出,提高日常诊断效率。

Redhat Linux 7的日志文件/var/log/messages中有频繁的“Started Session”,“New session”,"Removed session"等日志出现,如下所示:
在这里插入图片描述

如果觉得这些无关紧要的日志影响日常诊断,可以执行以下命令过滤掉这类日志:

echo 'if $programname == "systemd" and ($msg contains "Starting Session" or $msg contains "Started Session" or $msg contains "Created slice" or $msg contains "Starting user-" or $msg contains "Starting User Slice of" or $msg contains "Removed session" or $msg contains "Removed slice User Slice of" or $msg cont
最低0.47元/天 解锁文章
AI提示系统的日志分析:提示工程架构师的4个关键方法
大数据洞察的博客
08-01 415
本文将聚焦“AI提示系统的日志分析”这一核心主题,为提示工程架构师拆解4个关键方法:从日志的结构化设计与采集,到多维度指标体系构建,再到异常模式识别与根因定位,最终形成闭环优化与提示迭代。我们将结合实战案例与代码示例,带你一步步将日志数据化为优化提示的“导航图”,让AI系统从“黑箱”走向“可控”。结构化日志日志分析的“地基”。通过覆盖全生命周期的字段设计、简洁清晰的JSON格式、以及可靠的采集存储方案,我们确保后续分析“有米下锅”。
解决[removed].href之后session丢失的问题
08-26
今天小编就为大家分享一篇关于解决[removed].href之后session丢失的问题,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
linux session 浅谈
热门推荐
younghongjian的专栏
08-16 2万+
今天我来谈一谈关于linux session的一些认识,以下都是我对这个概念的认识,只是很初级的,希望对各位有所帮组吧。 session的概念: 在web中的session概念,维系是基于凭证,在web中一般用session保存的是登录的信息,当客户端每次进行请求的时候,都会在请求的数据后面加上session ,这样 服务端就可以知道该用户是什么用户,以及他所具有的权限。当用户退
服务器遭遇攻击处理
Field_Yang的博客
08-07 8356
服务器遭遇攻击处理 系统被植入rootkit之类的程序后,最安全有效的方法是直接重新安装系统。绝大多数攻击程序会依附在系统文件或者内核中,只有重装系统才能确保彻底清除攻击源。 一、服务允许马上切断网络处理基本流程: 1、切断网络:切断感染源,防止二次感染 2、查找攻击源:分析系统日志、登录日志、命令历史等,查看系统开启的端口、端口运行的进程,是否存在可疑进程等 3、分析入侵可能原因和途径...
Hibernate--对象生命周期及状态--Session
a1773570500的博客
04-23 944
这里写自定义目录标题
清理messages日志脚本
weixin_34362991的博客
06-15 776
要求:清楚/var/log下messages日志文件的简单命令脚本要使用root身份来运行这个脚本清楚日志脚本,版本#!/bin/bash #清除日志脚本,版本2 LOG_DIR=/var/log ROOT_UID=0#$UID为0的时候,用户才具有root用户的权限 #要使用root用户运行 if["$UID"-ne"$ROOT_UID"] then ec...
linux服务器出现大量的systemd: Started Session
kingsoulfat的博客
07-24 1016
usr/lib64/sa/sa2 是sar命令生成的性能数据文本文件,在一天结束后由cron运行,它包含了在24小时内按小时采集的系统性能数据,也称为日志文件。2、问题分析:这里出现大量的系统启动的会话日志,不是报错,是系统/etc/cron.d/sysstat 这个定时任务执行,用来收集系统性能的数据。/usr/lib64/sa/sa1 是sadc命令生成的性能数据二进制文件,它包含的是系统实时性能数据的1分钟平均值;在定时命令/etc/crotab/sysstat 中。
MS SQL Server 安全日志分析:从日志中提取安全智慧的方法
[MS SQL Server 安全日志分析:从日志中提取安全智慧的方法](https://www.sqlshack.com/wp-content/uploads/2019/09/login-failed-.png) # 摘要 本文对MS SQL Server的安全日志进行了系统的研究,覆盖了安全日志的...
OPC UA日志分析与故障定位:从日志中挖掘隐藏问题的5大关键方法
[OPC UA日志分析与故障定位:从日志中挖掘隐藏问题的5大关键方法](https://help-static-aliyun-doc.aliyuncs.com/assets/img/zh-CN/5544192171/p785264.png) # 摘要 本文围绕OPC UA日志分析与故障定位展开系统性...
31、Linux日志管理:systemd与rsyslog的全面指南
honey的博客
08-20 75
本文详细介绍了Linux系统中两种主要的日志管理系统:systemd日志系统和rsyslog遗留系统。内容涵盖日志查看、保护、创建和管理的实用工具与命令,如journalctl、systemd-cat、rsyslogd和logger等。还解析了syslog协议的设施值和严重性值,配置文件规则格式,以及分层日志记录的实现方法。此外,文章通过操作流程图、常见操作总结和实践案例分析,帮助读者全面掌握日志管理的关键技巧,为系统稳定运行和故障排查提供支持。
linux下过滤线上错误日志
华的专栏
05-31 4545
linux下过滤线上日志我们在进行web开发的时候,经常要查找线上问题,查找线上问题,大多用日志来看,像log4j的日志,但日志太多,如果只输入错误日志,又不好查找问题,我们要用到linux下过滤日志过滤我们用个人grep命令grep -E 'at |Execption|exception|Caused by' test.log chakan一个欢乐的程序员
Logstash使用grok进行日志过滤
拉丁解牛技术专栏
11-08 6132
自:https://www.jianshu.com/p/49ae54a411b8 一、前言 Logstash是Elastic stack 中的一个开源组件,其不仅能够对日志进行抓取收集,还能对抓取的日志进行过滤输出。Logstash的过滤插件有多种,如:grok、date、json、geoip等等。其中最为常用的为grok正则表达式过滤。 二、grok的匹配语法 grok的匹配语法分为两...
linux session多级目录,【Linux】记一次系统日志中大量出现Started Session * of user root 查找和解决办法...
weixin_33170268的博客
04-28 1万+
安装的纯净版centos 系统日志中大量出现出现 Started Session * of user root。系统启动会话很多用户在会在centos服务器日志中中发现大量系统启动会话,有频率的出现系统日志,这个信息并不是报错信息,但是大量这个又不方便你分析日志,所以禁用掉更方便你对服务器的维护Jun 23 09:00:01 iZu8kiphd67xs1Z systemd: Started Se...
查看Linux日志
Session_s的博客
12-25 741
https://blog.youkuaiyun.com/weixin_39761655/article/details/116657602
[系统日志] 大量信息:systemd: Started Session ### of user root
Echo_Blingbling的博客
08-31 1万+
系统环境:centos7.4 原因: [@hz ~]$ cd /etc/cron.d [@hz cron.d]$ ls 0hourly sysstat [@hz cron.d]$ sudo cat sysstat //该计划任务产生的 # Run system activity accounting tool every 10 minutes */10 * * * * root /usr/lib64/sa/sa1 1 1 # 0 * * * * root /usr/lib64/sa/sa1 6
2.3linux系统中的日志管理
wlxiaozhuzhu的博客
07-23 240
实验环境------------------------>systemctl stop firewalld 服务名称------------------------>systemd-journald.server journalctl默认存放路径:/run/log
Session相关问题
qq_42946963的博客
04-05 809
session
服务器之Session
shanwenfengyu的博客
06-25 1620
1.什么是Session? session是一次浏览器和服务器的交互的会话 2.Session的实现原理 1).Session的实现依赖cookie 2).用户第一次访问网页时系统会为这个用户创建一个独立的Session,并且还会给Session分配一个ID号,这个id好就是Session的标识. 当请求完成后 响应回浏览器时系统会创建一个cookie出来,Session的id保存在co...
Session丢失原因与解决方案小结
weixin_34337381的博客
05-13 300
可能的原因1: win2003 server下的IIS6默认设置下对每个运行在默认应用池中的工作者进程都会经过20多个小时后自动回收该进程,造成保存在该进程中的session丢失。 因为Session,Application等数据默认保存在运行该Web应用程序的工作者进程中,如果回收工作者进程,则会造成丢失。 解决办法: 修改配置,设置为不定时自动回收该工作者进程,比如设置为当超出占...
linux系统下怎么从日志里看是不是异常断电导致的关机或重启?
最新发布
09-17
<think> 我们正在处理用户的问题:如何通过日志判断Linux系统是否因异常断电导致关机或重启。 根据引用[1]和[2],我们了解到Linux正常关机和重启的命令,以及断电后重启时init进程的行为。 引用[3]提供了一个异常关机的日志片段,其中显示了rsyslogd在信号15下退出。正常关机通常发送信号15(SIGTERM)来终止进程,所以仅凭这个日志不能判断是否为异常断电。 异常断电(即突然断电)通常不会经过正常的关机流程,因此不会记录正常的关机事件。但是,系统重新上电启动时,会记录启动日志,并且可能会留下异常关机的痕迹。 通常,我们可以通过以下方法来判断: 1. 检查系统启动日志:如果系统上次是异常断电,那么重新启动时,在日志中不会有关机记录,而是直接出现系统启动的记录。另外,可能会看到文件系统检查(fsck)的记录,因为异常断电可能导致文件系统损坏,系统启动时会自动进行修复。 2. 查看上一次的关机记录:正常关机在日志中会有明确的关机命令执行记录(如shutdown, reboot等)或者显示由init进程正常结束。而异常断电则不会有这些记录。 3. 查看内核日志(dmesg)或者系统日志(/var/log/messages, /var/log/syslog等)中是否有关于电源中断(如ACPI事件)或者文件系统需要修复的记录。 具体步骤: - 使用命令`last -x`可以查看关机(shutdown)和重启(reboot)的历史记录。异常断电不会在这里留下记录。 - 检查/var/log/messages或/var/log/syslog(具体路径取决于发行版和配置),寻找关机前后的日志。如果没有正常的关机流程记录(比如没有运行关机脚本、没有发送关机信号等),而在重启后突然出现系统启动的记录,则可能是异常断电。 - 查看/var/log/boot.log,系统启动日志,如果上一次启动时进行了文件系统检查,则说明可能上次是异常关机。 - 检查/var/log/kern.log,看是否有类似“Unexpected power off”或“File system needs check”之类的错误。 另外,引用[2]提到init进程会侦测电源失效信号,但异常断电可能来不及记录。不过,现代Linux系统通常会在启动时记录上一次关机的异常情况。 一个更直接的方法是查看系统启动时的日志,通常会记录关机原因。例如: - 在系统日志中寻找包含“Power loss”或“AC power lost”的条目。 - 使用`journalctl`命令(对于使用systemd的系统)查看系统日志过滤关机相关事件: journalctl -b -1 -p err..alert # 查看上一次启动的严重错误 journalctl --list-boots # 列出启动序号,然后选择上一次的启动日志 - 或者使用`dmesg`命令查看内核日志,寻找有关断电或异常关机的信息。 但是,异常断电可能不会在日志中明确记录,因此我们通常通过间接证据(如没有正常关机记录、启动时进行了文件系统检查等)来判断。 步骤总结: 1. 检查关机记录:`last -x | grep shutdown` 或 `last -x | grep reboot`,如果没有正常关机记录,且系统重新启动了,则可能是异常断电。 2. 检查系统日志:在/var/log/syslog或/var/log/messages中,查找上一次关机时间附近的日志。如果有正常关机,会显示“system halted”或“power down”等。如果没有,而在重启后的日志中出现了文件系统检查(fsck)的记录,则可以推断是异常断电。 3. 使用journalctl(针对systemd系统): journalctl --list-boots # 显示启动索引,记下上一次启动的索引(比如-1表示上一次启动) journalctl -b -1 # 查看上一次启动时的日志,重点看启动初期的日志,是否有关于文件系统修复、意外断电等信息。 注意:异常断电后重启,系统可能会在启动时自动进行文件系统检查,并记录在日志中。例如,可能会看到“EXT4-fs (sda1): recovery complete”这样的信息,表明文件系统进行了恢复。 举例: 在系统日志中,正常关机可能会看到: systemd[1]: Received SIGINT. systemd[1]: Stopping Session c1 of user root. systemd[1]: Stopped target Graphical Interface. systemd[1]: Shutting down. 而异常断电后,启动日志可能会显示: systemd[1]: Starting File System Check on /dev/sda1... fsck[1234]: /dev/sda1: clean, 12345/456789 files, 67890/456789 blocks 或者如果文件系统有损坏,会显示修复过程: fsck[1234]: /dev/sda1 contains a file system with errors, check forced. fsck[1234]: /dev/sda1: Inodes that were part of a corrupted orphan linked list found. 因此,我们可以通过以下特征判断: - 没有正常的关机日志(如shutdown命令执行、systemd开始关机流程等) - 在启动日志中出现了文件系统检查(fsck)的记录,特别是如果检查不是按计划进行的(比如在非正常时间检查) - 日志中可能有内核记录的“Unexpected interrupt”或类似的电源异常事件 另外,一些服务器有硬件监控(如UPS),可以记录电源故障,这些日志也可能在系统日志中体现。 根据引用[3]的日志示例,我们看到的是正常关机(signal 15)的记录。如果异常断电,则不会有这样的记录。 因此,我们可以这样回答用户: 在Linux系统下,可以通过以下方法日志判断是否为异常断电导致的关机或重启: 1. **查看关机记录**:使用`last -x`命令查看关机历史。正常关机会有`shutdown`或`reboot`记录,而异常断电则不会有。 例如:`last -x | grep shutdown` 2. **检查系统日志**:查看系统日志文件(如`/var/log/messages`、`/var/log/syslog`),定位到上一次关机前后的时间段: - 正常关机:会显示系统开始关闭的日志,例如(以systemd系统为例): systemd-logind: System is powering down. systemd[1]: Shutting down. - 异常断电:在日志中你可能找不到关机过程的记录,而是直接看到下一次启动的日志。 3. **检查启动日志**:查看系统启动时的日志,特别是文件系统检查的记录: - 使用命令:`grep -i fsck /var/log/syslog` 或 `dmesg | grep -i fsck` - 如果在启动时出现了文件系统检查,并且不是按计划进行的(比如非正常关机后的启动),则可能是异常断电导致的。 4. **使用journalctl(针对systemd系统)**: - 列出所有启动:`journalctl --list-boots` - 查看上一次启动的日志:`journalctl -b -1 | grep -E 'fsck|shutdown|power'` - 注意寻找是否有文件系统修复的记录,或者有关电源异常的记录。 5. **检查内核日志**:`dmesg`命令的输出中,启动时的内核日志可能会有线索,比如: [ 0.000000] ACPI: PM: Power button event [ 1.234567] EXT4-fs (sda1): recovery complete 如果看到文件系统恢复(recovery)的记录,通常意味着上次关机是异常的。 6. **查找电源事件**:在日志中搜索与电源相关的关键字,如`power off`, `ACPI`, `power loss`等。 综合以上方法,如果: - 没有正常关机的日志记录 - 在启动日志中发现了文件系统检查或修复的记录 - 或者有电源异常的内核日志 则可以推断上次关机或重启是由于异常断电导致的。 注意:不同发行版的日志路径和内容可能略有不同,以上方法需要结合具体情况分析。 例子: 正常关机日志片段(systemd): May 10 12:00:00 hostname systemd[1]: Stopping target Multi-User System. May 10 12:00:00 hostname systemd[1]: Stopped target Graphical Interface. May 10 12:00:00 hostname systemd[1]: Stopping Session c2 of user root. May 10 12:00:01 hostname systemd[1]: Shutting down. 异常断电后重启的日志片段(启动时): May 10 12:05:00 hostname kernel: [ 0.000000] ACPI: PM: Power button event May 10 12:05:00 hostname kernel: [ 1.234567] EXT4-fs (sda1): recovery complete May 10 12:05:00 hostname systemd-fsck[567]: /dev/sda1: clean, 123456/789012 files, 3456789/4567890 blocks 因此,通过对比关机日志和启动日志,可以判断是否为异常断电。 另外,如果系统配置了kexec(快速重启)或者使用了休眠(hibernate),则情况会复杂一些,需要排除这些情况。 参考文献: [^1] 提供了正常关机命令的信息,有助于我们了解正常关机的过程。 [^2] 提到init进程会侦测电源失效信号,但异常断电可能来不及记录,因此我们主要依赖启动时的日志。 [^3] 给出了一个正常关机的日志示例(信号15),这有助于我们区分正常关机与异常断电。 如果用户需要更详细的日志分析,可以建议用户提供具体的日志片段。 现在,我们为用户生成相关问题。 </think> 在Linux系统中,可以通过分析系统日志判断是否为异常断电导致的关机或重启,以下是具体方法及步骤: --- ### **判断方法** #### 1. **检查关机原因记录** - 使用命令查看关机日志: ```bash journalctl -b -1 | grep "Shutting down\|power off" ``` - **正常关机**:会显示`systemd[1]: Shutting down`或`Initiated power off`等明确记录(如引用[1]提到的`shutdown`命令触发)[^1] - **异常断电**:日志中**无任何关机记录**,直接跳到下次启动日志(如引用[2]所述,异常断电不会触发正常关机流程)[^2] #### 2. **分析内核日志中的电源信号** - 检查内核日志的关键字段: ```bash journalctl -b -1 -k | grep -i "power\|acpi" ``` - **正常关机**:显示`ACPI: Preparing to enter system sleep state`(ACPI睡眠状态准备) - **异常断电**:出现`Kernel: Power button event`(物理断电按钮事件)或`ACPI: Critical trip point`(电源临界事件),且无后续关机流程记录[^2] #### 3. **查看文件系统日志** - 检查文件系统异常标记: ```bash journalctl -b | grep "fsck\|EXT4-fs error" ``` - **异常断电特征**: - 显示`EXT4-fs (sda1): recovery complete`(文件系统强制恢复) - `fsck`非计划性启动(如引用[3]中日志缺失正常卸载记录)[^3] #### 4. **对比系统运行时间** - 检查上次运行时长是否异常: ```bash last -x | grep "shutdown\|reboot" # 查看正常关机记录 uptime -s # 当前系统启动时间 ``` - 若系统运行时间远低于日常平均值(如从数天变为几分钟),可能因异常断电导致频繁重启。 --- ### **关键日志示例** - **异常断电的典型日志链**: ```log Jun 15 03:00:00 host kernel: ACPI: Critical trip point # 电源异常信号 Jun 15 03:00:02 host systemd-fsck[1011]: /dev/sda1: clean, 1024/65536 files # 强制文件系统检查 Jun 15 03:00:05 host systemd[1]: Startup finished in 15s # 无前次关机记录直接启动 ``` - **正常关机的典型日志**: ```log Jun 14 22:00:00 host systemd[1]: Received SIGTERM # 收到关机信号 Jun 14 22:00:01 host systemd[1]: Shutting down. # 关机流程启动 Jun 14 22:00:03 host kernel: Power down. # 电源关闭 ``` --- ### **操作步骤总结** 1. **定位日志时间**: ```bash journalctl --list-boots # 列出所有启动记录 journalctl -b -1 # 查看上一次启动的完整日志 ``` 2. **筛选关键事件**: ```bash journalctl -b -1 -p 3..7 # 过滤警告级以上日志 ``` 3. **综合验证**: - 无正常关机记录 + 文件系统恢复日志 + 电源异常信号 → **确认异常断电** > 💡 **提示**:若日志被覆盖,可检查`/var/log/syslog`或`/var/log/messages`的历史归档(引用[3]的日志存储在`rsyslog`中)[^3]。 --- ### **相关问题** 1. 如何诊断Linux系统启动时的文件系统错误? 2. 除了日志分析,还有哪些方法可以检测服务器异常断电? 3. 如何配置Linux日志服务(如`rsyslog`)以确保关键关机事件不被覆盖? [^1]: Linux正常关机需执行`sync`和`shutdown`等命令,确保数据安全写入硬盘 [^2]: 异常断电时`init`进程无法捕获信号,导致日志缺失正常关机流程 [^3]: 系统日志(如`/var/log/messages`)记录服务退出信号,异常关机通常无信号记录
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值