N3Xus
Administrator
Урок 01 – Как да четеш логовете... без да четеш логовете
Повечето от вас търсят файл. Аз търся поведение.
Логовете не са текст – те са повтаряемост.
Ако четеш само редовете, пропускаш историята.
Истинският анализ не започва с `cat /var/log/syslog`.
Започва с въпроса: Какво не е нормално?
Стъпка 1 – Забрави `cat` и започни да гледаш като наблюдател
Вместо да четеш хиляди редове – филтрирай събитията.Пример:
Това не е четене – това е селекция. Анализаторът не чете всичко. Той вижда това, което има значение.
Стъпка 2 – Използвай поведение, не съдържание
Вместо да четеш логовете – наблюдавай кои се променят.
Пример:
Това ти показва кои логове се пълнят най-много. Оттам започваш. Не от началото, не от края.
Ако един лог расте като раковина – не го чети.
Разбери защо расте.
Стъпка 3 – Следи процеса, не грешката
Всеки лог е отпечатък.
Но истинската причина не е в него – тя е в процеса, който го пише.
Команда: Кой пише? Кой товари? Кой се държи различно? Събери профил, не обвинявай веднага syslog.
Заключение от N3Xus
Истинският читател на логовете не използва очите си.
Той използва съзнанието си.
Знанието не е в log-файла.
То е в модела зад него.
Не четеш логове.
Четеш поведение.
– N3Xus