iT邦幫忙

2024 iThome 鐵人賽

DAY 2
0
IT 管理

Troubleshooting - 隔空抓藥的日常與實務技巧系列 第 2

Day 2 - 你永遠不會知道今天收到的log,會是下一次troubleshooting的養分(淺談log管理)

  • 分享至 

  • xImage
  •  

首先提一下妥善管理log的重要性
以下引用Wiki內容對於歷史的解釋:

指人類社會過去的事件和行動,以及對這些事件行為有系統的記錄、詮釋和研究。歷史可提供今人理解過去,作為>未來行事的參考依據,與倫理、哲學和藝術同屬人類精神文明的重要成果
https://zh.wikipedia.org/zh-tw/%E5%8E%86%E5%8F%B2

Troubleshooting的過程,其實就是如同在幫事件做建檔與歷史記錄比對的過程,因此建檔的方法論也是個關係到未來檔案可用性與可被關聯性的重點。每一次的問題,再發生的時間點很難預期,以月或是年為單位都是常見的情況。第一次處理的當下想必對於問題的現象,log的pattern是非常熟悉的;但是當數個月或是數年過去後,等到你再見到它,還能似曾相識已經算是很厲害了。

特別是當一個你覺得已經解了很多年的issue,但是它又回來找你的時候。

https://ithelp.ithome.com.tw/upload/images/20240910/20169203pP1Zs8v4yo.png

你很難不想去分析以前收集到的log與現在的到底有什麼差異,從中來釐清它又回來的原因。

要如何使用少少的幾個keyword快速找回你的記憶與log呢?那就要提到這篇的重點了。

在工具出場之前,要先提一下幾個我自己管理log的經驗給大家參考,有些也是在使用了搜尋工具之後才養成的習慣,算是人為的在幫搜尋工具建立index。

  • 文件名稱:依據角色的不同,網管人員可能常常會收到ncap的封包檔,MIS會有常見的syslog, dmesg, evtx,甚至csv或是多種各人隨性命名的log名稱,不管一開始收到的名稱及附檔名為何,看完之後將其歸檔為有意義的名稱非常重要,

    • 產生時有固定名稱的log:
      建議保留原有的固定名稱,方便事後尋找此類文件做為參考,
      當然擁有多份相同名稱的文件時便可用資料夾區隔或是他們的相異處區別(產生時間,主機名稱等)。

    • 產生時完全依賴user自己命名的log:
      像是tool產生的log,便可以在檔名中以tool(dmidecode)或是cmd的內容命名(lspci_-tv)

  • 資料夾名稱:

    • 時間或序號:
      如果你拿到log裡不是永遠會記錄時間的話,時間便是個很容易被遺失的資訊,留下時間在資料夾的好處之一是你也可以將它做為序號的一種,同時又能方便觀察問題發生的間隔與頻率

    • 客戶名稱/專案名稱:
      在內部有多個客人或是多個專案時,我通常會在資料夾名稱中使用客戶名稱,以方便記錄以及總結多少客人遇到過此類問題以及他們,特別當某個問題在短時間突然出現,並爆發時。這有助你在內部會議中,提出有力而且專業的資料。

    • 主機名稱或序號:
      當有些問題從客戶端拋來,明明系統或是機器已經在他們那邊使用了多年了,還是會發生一些像是系統剛建置時才會遇到的錯誤,此時如果請客人提供系統的主機名稱或是機器序號,來和以往的log比對,往往可以用全知視角反問一些你的窗口自己也不知道的問題,讓他們內部做確認。

    光是能夠落實以上的命名規則,就足以讓你在往後的工作中,減少很多不必要的來來回回。甚至用的好的人,可能在不需要存取主機的狀況下,利用以往收集來的log就足以與別人討論問題的能力。

    Log都準備好了,再來就輪到工具登場囉。


上一篇
Day 1 - 你終究是要看log的,何不安裝一個好tool呢?(Notepad++)
下一篇
Day 3 - You're Everything~Windows搜尋神器
系列文
Troubleshooting - 隔空抓藥的日常與實務技巧30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言