Linux下恢复被误删除的syslog—/var/log/messages

最新推荐文章于 2024-09-10 11:09:09 发布
最新推荐文章于 2024-09-10 11:09:09 发布 · 376 阅读 · 0
文章标签:

#误删syslog #恢复系统日志 #恢复syslog

本文提供了一种在Linux环境下误删syslog日志文件后,通过查询打开文件的进程ID和文件描述符,进而恢复日志文件的方法。包括使用lsof命令查找相关信息,复制/proc路径下的对应文件到原始日志位置,以及重启syslog服务恢复日志记录。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

原创文章,转载请注明作者:黄文海 来源:[url]http://viscent.iteye.com[/url],同步发布在:[url]http://blog.viscenthuang.info[/url]

软件开发日常工作中,出于方便定位问题的需要,我们常常会去清空日志文件。但是,Linux新手容易犯的一个错误是把日志文件给直接删除,而不是删除日志文件的内容。直接删除日志文件往往导致新产生的日志记录无法被写入到日志文件中(因为它已经被删除了),而仅仅重新新建(touch)同样名字的文件是解决不了问题的。下面以Unbutu系统为例,说明如何恢复被误删除的syslog:

首先,在以root用户执行如下lsof命令,查询打开/var/log/messages文件的进程的进程ID(PID)。

root@viscent:/var/log# lsof | grep messages
rsyslogd 544 syslog 7w REG 8,1 214641 134422 /var/log/messages


从上面命令输出可以看到,这个打开/var/log/messages文件的进程的PID是544,文件/var/log/messages的文件描述符(FD)号是7。
根据上述的PID和FD,可以在/proc找到对应的文件:

root@viscent:/var/log#ls -al /proc/544/fd/7
l-wx------ 1 root root 64 2012-07-14 14:48 7 -> /var/log/messages


将文件/proc/544/fd/7拷贝到/var/log/messages

cp /proc/544/fd/7 /var/log/messages


然后重新启动syslog服务即可恢复被误删除的日志文件,并且新的日志记录能够继续被写入日志文件。
以root用户运行service命令。其中,service命令的第2个参数可能是syslog、也可能是rsyslog。
具体可以使用通过命令查询得知。

root@viscent:/proc/544/fd# service --status-all
[ ? ] ...
[ ? ] rc.local
[ ? ] rsyslog
[ ? ] screen-cleanup
[ ? ] ...


root@viscent:/proc/544/fd# service rsyslog restart
rsyslog start/running, process 2673


BTW,真正用来清空日志文件的命令应该是:

cat /dev/null>/var/log/messages
Linux 根分区 (/) 已满时如何释放空间?
网络技术联盟站
05-05 325
根分区()是Linux文件系统的核心,包含操作系统核心文件、配置文件、日志文件、缓存和用户数据等。当根分区满载时,系统可能出现无法写入新文件、应用程序崩溃甚至无法启动的情况。/var/log/tmp了解这些原因后,我们将通过系统化的方法定位问题并释放空间。
linux文件系统与日志分析
weixin_48271370的博客
08-11 1013
分析日志文件
linux-log
feiyu5323的专栏
07-20 253
导航 (返回顶部) 1. linux日志分类 2. 日志文件目录 3. 转储配置文件 4. 更多相关链接 5. proc目录(原文摘录) 6. 日志恢复(原文摘录) 1. linux日志分类 2. 日志文件目录 3. 转储配置文件 4. 更多相关链接 5. proc目录(原文摘录) 6. 日志恢复(原文摘录) 1. linux日志分类 Linux系统的日志文件按文件类型可分...
linux syslog 删除文件_Linux不小心删除日志文件syslog如何恢复 LINUX系统日志的清除...
weixin_33060753的博客
12-24 277
延伸:LINUX系统日志的清除描述:...纪录当前登录的每个用户wtmp一个用户每次登录进入和退出时间的永久纪录xferlog纪录FTP会话直接删除日志:1.删除所有的日志:find/var-typef-execrm-v{};(最后的分号也是必须命令的一部分)2.设置/etc/logrotate.d/syslog文件控制日志文件的大小。3.如果实在想自己手工清空某些日志文件的话,可以使用命令:/v...
Centos /var/log 日志文件过大原理极清理办法详解
weixin_50314733的博客
09-18 5761
1、/var/log/secure 记录登录系统存取数据的文件(例如:pop3,ssh,telnet,ftp等都会记录在此); 2、/ar/log/btmp 记录登录信息记录,被编码过,所以必须以lastb解析; lastb | awk ‘{ print $3}’ | sort | uniq -c | sort -nr | more Copy 3、/var/log/message 几乎所有的开机系统发生的错误都会在此记录; 4、/var/log/boot.log 记录一些开机或者关机启动的一些服务显示的启动
LINUX运维-清理/var/log/messages系统日志
qq_42179607的博客
09-10 713
LINUX运维-清理/var/log/messages系统日志
ubuntu 手动清理syslog
qq_42371913的博客
02-22 5830
syslog过大手动清理及重启服务 1.清空日志文件内容不需要重启: a)cat /dev/null > /var/log/messages 但是本人使用该命令 提示权限不够 加了sudo也没用,最后采用第二种方法 2.直接删除文件,再重启服务,自动创建syslog文件,并可写入新日志内容: a)cd/var/log b)rm -f syslog c)rm -f syslog.1 d)systemctl restart rsyslog ...
if [ -f /var/log/vkylin-install-chroot.log ];then sudo echo "" > /var/log/vkylin-install-chroot.log fi
05-10
好的,用户想要通过脚本清空/var/log下的特定日志文件来释放空间。我得先回顾之前的对话,看看之前提到的解决方案,然后结合用户现在提供的引用内容来给出合适的建议。 首先,用户之前的问题是关于限制/var/log目录...
没有那个文件或目录 /var/log/jenkins
03-27
- 系统日志:`/var/log/syslog` 或 `/var/log/messages` - Jenkins 日志:重建后查看 `/var/log/jenkins/jenkins.log` - **推荐监控命令**: ```bash # 实时监控目录变化 sudo watch -n 1 "ls -l /var/log/...
#!/bin/bash # iptables-table-priority-test.sh # 需要root权限运行 # 清理之前的规则和日志 cleanup() { # 删除所有iptables规则 iptables -t raw -F iptables -t mangle -F iptables -t nat -F iptables -t filter -F iptables -t security -F # 清除日志 echo > /var/log/syslog echo > /var/log/kern.log systemctl restart rsyslog >/dev/null 2>&1 } # 配置测试规则 configure_rules() { # 在raw表中添加日志规则 iptables -t raw -A PREROUTING -p icmp -j LOG --log-prefix "[RAW] " --log-uid # 在mangle表中添加日志规则 iptables -t mangle -A PREROUTING -p icmp -j LOG --log-prefix "[MANGLE] " --log-uid # 在nat表中添加日志规则 iptables -t nat -A PREROUTING -p icmp -j LOG --log-prefix "[NAT] " --log-uid # 在filter表中添加日志规则 iptables -t filter -A INPUT -p icmp -j LOG --log-prefix "[FILTER] " --log-uid # 在security表中添加日志规则 iptables -t security -A INPUT -p icmp -j LOG --log-prefix "[SECURITY] " --log-uid # 允许ICMP流量 iptables -t filter -A INPUT -p icmp -j ACCEPT } # 生成测试流量 generate_traffic() { # 发送单个ICMP请求包 ping -c 1 127.0.0.1 >/dev/null 2>&1 # 给日志系统时间处理 sleep 1 } # 分析日志结果 analyze_results() { echo -e "\n\033[1;34m===== 日志分析结果 =====\033[0m" # 查找包含所有表日志的最新数据包UID uid_line=$(grep -m 1 "UID=" /var/log/syslog /var/log/kern.log | head -1) packet_uid=$(echo "$uid_line" | grep -oP "UID=\K\d+") if [ -z "$packet_uid" ]; then echo "❌ 未找到测试数据包日志" return 1 fi # 提取该数据包的所有日志条目 log_entries=$(grep "UID=$packet_uid" /var/log/syslog /var/log/kern.log) if [ -z "$log_entries" ]; then echo "❌ 未找到匹配的日志条目" return 1 fi # 显示日志条目 echo "$log_entries" # 提取表名顺序 table_order=$(echo "$log_entries" | grep -oP '\[\K[A-Z]+(?=\])' | tr '\n' ' ') echo -e "\n\033[1;34m===== 表优先级顺序 =====\033[0m" echo "检测到的顺序: $table_order" # 验证正确性 expected_order="RAW MANGLE NAT FILTER SECURITY" if [[ "$table_order" == *"$expected_order"* ]]; then echo -e "\n\033[1;32m✓ 测试通过: 表优先级顺序正确\033[0m" return 0 else echo -e "\n\033[1;31m✗ 测试失败: 表优先级顺序不正确\033[0m" echo "期望的顺序: $expected_order" return 1 fi } # 主函数 main() { echo "正在准备测试环境..." cleanup echo "配置iptables规则..." configure_rules echo "生成测试流量..." generate_traffic echo "分析结果..." analyze_results result=$? echo "清理环境..." cleanup exit $result } # 执行主函数 main 结果是===== 日志分析结果 ===== ❌ 未找到测试数据包日志 清理环境...
最新发布
08-20
日志通常存储在`/var/log/syslog`、`/var/log/messages`或通过`dmesg`查看。 ```bash dmesg | grep "LOG: " # 过滤日志条目 # 或 grep "LOG: " /var/log/syslog ``` - **预期结果**:如果优先级正确,日志应...
Linux实时查看文件/var/log/messages以及这个文件的问题
热门推荐
Pruett的博客
07-01 3万+
耐心看完说不定有你遇到的问题 1./var/log/messages 首先说一下这个文件的存在,在Ubuntu系统中,这个文件你访问可能提示找不到这个文件 //使用tail命令访问 name@name:~$ sudo tail /var/log/messages tail:无法打开'/var/log/messages' 读取数据: 没有那个文件或目录 tail:没有剩余文件 可能会出现...
Linux系统日志及分析
菲宇运维
06-21 5332
Linux系统拥有非常灵活和强大的日志功能,可以保存几乎所有的操作记录,并可以从中检索出我们需要的信息。 大部分Linux发行版默认的日志守护进程为 syslog,位于 /etc/syslog 或 /etc/syslogd 或/etc/rsyslog.d,默认配置文件为 /etc/syslog.conf 或 rsyslog.conf,任何希望生成日志的程序都可以向 syslog 发送信息。 Li...
清理/var/log/messages的脚本
松猪的专栏
12-10 2454
#!/bin/bash #this is clear cat /dev/null > /var/log/messages echo "message clear up"
deepin 下没有日志文件syslog messages 解决方法
树叶子的博客
11-20 1727
一条命令即可: sudo apt-get install rsyslog
linux 自动清理var log,Linux 系统 /var/log/journal/ 垃圾日志清理-Fun言
weixin_31787335的博客
05-06 1944
CentOS系统中有两个日志服务,分别是传统的 rsyslog 和 systemd-journal# ls -l /etc/logrotate.d/-rw-r--r-- 1 root root 91 Apr 11 2018 bootlog-rw-r--r-- 1 root root 160 Sep 15 2017 chrony-rw-r--r-- 1 root root 138 Oct 30...
syslog总结
烂笔头
02-12 2万+
linux logger子系统学习总结。
清空日志/var/log/messages
dean123363的专栏
08-07 1031
[quote] cd /var/log lsof messages [/quote] [quote] COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME rsyslogd 1455 root 4w REG 8,6 1299113404 2686 messages abrt-dump 1932 r...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值