linux如何dump日志

Linux系统中,日志记录是系统管理和故障排查的重要工具，通过dump日志，可以捕获系统或应用程序的运行状态，以便后续分析，以下是几种常见的Linux dump日志方法：

使用jmap命令生成Java堆转储（Heap Dump）

jmap是JDK自带的工具，用于生成Java进程的堆转储文件，常用于分析内存泄漏或性能问题。

步骤：

1. 查找Java进程ID：

   ps -ef | grep java | grep <应用名称>

   ps -ef | grep java | grep myapp

   输出示例：

   user      12345  ...  /path/to/java -jar myapp.jar

   其中12345是进程ID（PID）。

2. 生成堆转储文件：

   jmap -dump:format=b,file=/path/to/dump.hprof <PID>

   jmap -dump:format=b,file=/home/user/dump.hprof 12345

   这会将堆转储保存为dump.hprof文件。

3. 分析堆转储：
   可以使用jhat或VisualVM等工具分析生成的.hprof文件。

注意事项：

• jmap可能会暂停目标Java进程，建议在测试环境或低峰期使用。
• 如果目标进程不响应,可以尝试添加-F参数强制生成：

  jmap -F -dump:format=b,file=/path/to/dump.hprof <PID>

使用tcpdump抓取网络数据包

tcpdump是Linux下常用的网络抓包工具，用于捕获和分析网络流量。

常用命令：

1. 基本抓包：

   tcpdump -i eth0

   这会捕获eth0接口上的所有网络数据包。

2. 保存到文件：

   tcpdump -i eth0 -w /path/to/capture.pcap

   这会将捕获的数据包保存为capture.pcap文件，可以用Wireshark分析。

   

3. 过滤特定流量：

   • 捕获来自168.1.100的流量：

     tcpdump -i eth0 src 192.168.1.100

   • 捕获HTTP流量：

     tcpdump -i eth0 port 80

   • 捕获TCP流量并保存：

     tcpdump -i eth0 tcp -w /path/to/tcp_capture.pcap

参数说明：

使用kdump捕获内核崩溃转储

kdump是Linux内核崩溃时自动生成转储文件的机制，用于故障分析。

配置步骤：

1. 安装kdump工具：

   yum install kdump-tools

2. 配置kdump：
   编辑/etc/kdump.conf，设置转储文件存储路径和大小限制。

   [kdump]
   core_collector = makedumpfile
   default_recipient = root
   core_size = 1024M

3. 启用kdump：

   systemctl enable kdump
   systemctl start kdump

4. 模拟内核崩溃：

   echo c > /proc/sysrq-trigger

   这会触发内核崩溃,并生成转储文件，通常位于/var/crash/目录下。

分析转储文件：

使用crash或gdb等工具分析内核转储文件：

crash /var/crash/vmlinux-<日期>.txt /var/crash/vmcore-<日期>

使用dmesg捕获内核日志

dmesg命令用于查看内核缓冲区的消息，包括系统启动、硬件驱动加载等信息。

常用命令：

1. 查看内核日志：

   dmesg

2. 将内核日志保存到文件：

   dmesg > /path/to/kernel.log

3. 实时监控内核日志：

   

   tail -f /var/log/kern.log

使用journalctl查看系统日志

journalctl是systemd系统下的日志管理工具，用于查看和过滤系统日志。

常用命令：

1. 查看所有日志：

   journalctl

2. 查看特定服务的日志：

   journalctl -u nginx.service

3. 将日志保存到文件：

   journalctl -u nginx.service > /path/to/nginx.log

4. 过滤指定时间范围的日志：

   journalctl --since "2023-01-01" --until "2023-01-02"

使用last和lastb查看登录日志

last和lastb命令用于查看用户登录和失败登录记录。

常用命令：

1. 查看成功登录记录：

   last

2. 查看失败登录记录：

   lastb

3. 将登录记录保存到文件：

   last > /path/to/login.log

FAQs

如何分析生成的Java堆转储文件？

答：可以使用VisualVM、Eclipse MAT或JProfiler等工具打开.hprof文件，分析内存占用情况、查找内存泄漏对象等，使用VisualVM打开堆转储文件后，可以查看“Dominator Tree”或“Top Consumers”来定位问题对象。

tcpdump抓包时如何过滤特定IP和端口？

答：可以使用tcpdump的过滤表达式，捕获来自168.1.100且目标端口为80的TCP流量：

tcpdump -i eth0 tcp and src 192.168.1.100 and dst port 80