Etiket: log-takibi

tail Komutu ile Log Takibi ve Canlı Dosya İzleme

tail komutu, Linux sistemlerde log dosyalarının son satırlarını görüntülemek ve canlı olarak takip etmek için vazgeçilmez bir araçtır. Web sunucusu yöneticileri için Apache, Nginx ve uygulama loglarını anlık izlemede kritik rol oynar. Bu yazıda tail komutunun tüm parametrelerini ve gerçek dünya kullanım senaryolarını ele alıyoruz.

tail Komutu: Log Takibi ve Canli Dosya Izleme

Web sunucusu yonetiminin en kritik becerilerinden biri log dosyalarini etkili sekilde okumak ve izlemektir. Bir sorun ciktiginda, bir saldiri algiladiginizda veya performans dusuklugu yasadiginizda ilk basvuracaginiz yer log dosyalaridir. Bu noktada tail komutu, sysadmin’in en yakin dostu haline gelir.

Bu yazida tail komutunu tum detaylariyla ele alacagiz. Temel kullanimi, web sunucusu senaryolari, gercek dunya ornekleri ve bazi ileri seviye kullanim sekilleri uzerinden gecelim.

tail Nedir ve Ne Ise Yarar?

tail komutu, bir dosyanin son satirlarini ekrana basmak icin kullanilir. Adini “kuyruk” anlamina gelen ingilizce “tail” kelimesinden alir, yani dosyanin kuyrugundan, yani sonundan okur.

Linux’ta log dosyalari surekli buyuyen dosyalardir. Bir Apache veya Nginx web sunucusu her HTTP istegiyle access.log dosyasina yeni bir satir ekler. Hata olustugunda error.log dosyasina kayit duser. Bu dosyalari cat ile acmaya calisirsakyuzlerce binlerce satiri terminalinize dokecektir. tail ise sadece ilgilendiginiz son kismi getirir.

En temel kullanimi:

tail /var/log/nginx/access.log

Bu komut varsayilan olarak dosyanin son 10 satirini gosterir. Hizli bir kontrol icin idealdir.

Temel Parametreler

-n: Satir Sayisi Belirleme

Varsayilan 10 satir cok kisa veya uzun gelebilir. -n parametresiyle istediginiz satir sayisini belirleyebilirsiniz:

# Son 50 satiri goster
tail -n 50 /var/log/nginx/error.log

# Son 100 satiri goster
tail -n 100 /var/log/apache2/access.log

# Kisaltilmis kullanim
tail -50 /var/log/nginx/error.log

Burada ufak ama cok isine yarayacak bir numara: Satir sayisinin onune + koyarsaniz anlam degisir. +20 derseniz “20. satirdan itibaren goster” anlamina gelir:

# 20. satirdan itibaren sonuna kadar goster
tail -n +20 /var/log/nginx/access.log

Bu ozellik ozellikle uzun log dosyalarinda belirli bir noktadan sonrasini okumak istediginizde cok isine yarar.

-f: Canli Izleme (Follow)

Bu, tail komutunun en cok kullanilan ve en degerli ozelligidir. -f parametresi ile dosyaya yazilan yeni satirlari anlik olarak ekraninizdatakip edebilirsiniz.

tail -f /var/log/nginx/access.log

Bu komutu calistirdiginizda terminal “bekler” moduna girer ve dosyaya her yeni satir eklendiginde onu aninda gosterir. Web sunucunuza gelen istekleri gercek zamanli izlemek icin muhtesemdir.

-f modundan cikmak icin CTRL + C tusuna basin.

-F: Daha Akilli Takip

-f ile -F arasinda onemli bir fark var. -F parametresi log rotation (log dosyasi dongusunu) destekler. Yani log dosyasi yeniden adlandirilip yeni bir dosya olusturulsa bile -F yeni dosyayi otomatik olarak takip etmeye baslar.

tail -F /var/log/nginx/access.log

Uzun sureli izleme yapacaksaniz -f yerine -F kullanin. Logrotate servisi gece yari calisip access.log dosyasini access.log.1 olarak yeniden adlandirdiginda -F sorunsuz devam eder, -f ise eski dosyayi izlemeye devam eder.

Web Sunucusu Senaryolari

Senaryo 1: Nginx Hata Loglarini Canli Izleme

Bir kullanici “siteniz calismyor” diye sizi aradi. Ilk yapacaginiz sey buyuk ihtimalle sudur:

tail -f /var/log/nginx/error.log

Ekranda su tur satirlar gormeye baslarsaniz:

2024/01/15 14:32:11 [error] 1234#0: *567 connect() failed (111: Connection refused) while connecting to upstream

Hemen anliyorsunuz: Nginx upstream’e, yani arkasindaki uygulamaya (PHP-FPM, Node.js vs.) baglanamiyor. Sorun nginx’in kendisinde degil, arkasindaki serviste.

Senaryo 2: Apache Access Log ile Trafik Analizi

Sunucunuz yavasladiysa kimin ne yaptigini anlamak istersiniz:

tail -n 200 /var/log/apache2/access.log | grep "POST"

Bu komut son 200 satir icindeki POST isteklerini filtreler. Birinin formunuzu spam amacli kullanip kullanmadigini hemen gorebilirsiniz.

Daha spesifik bir ornek:

# Belirli bir IP'nin isteklerini canli izle
tail -f /var/log/apache2/access.log | grep "192.168.1.100"

# 404 hatalarini canli izle
tail -f /var/log/nginx/access.log | grep " 404 "

# 500 hatalarini canli izle
tail -f /var/log/nginx/access.log | grep " 500 "

Senaryo 3: Birden Fazla Log Dosyasini Ayni Anda Izleme

Bu cok bilinen ama az kulllanilan bir ozellik. tail -f ile birden fazla dosyayi ayni anda izleyebilirsiniz:

tail -f /var/log/nginx/access.log /var/log/nginx/error.log /var/log/php8.1-fpm.log

Cikti su formatta olur, hangi dosyadan geldigini ust baslikta yazar:

==> /var/log/nginx/access.log <==
192.168.1.1 - - [15/Jan/2024:14:35:22 +0300] "GET /api/users HTTP/1.1" 200 1234

==> /var/log/nginx/error.log <==
2024/01/15 14:35:23 [warn] FastCGI sent in stderr: "PHP message: PHP Warning..."

Bu ozelligi kesfettigimde “neden bunu daha once bilmiyordum” diye dusunmustum. Bir sorun debug ederken cok fazla zaman kazandiriyor.

Ileri Seviye Kullanim Ornekleri

multitail ile Daha Guzel Izleme

Standart tail yetmiyorsa multitail aracini deneyin. Her log dosyasini ayri bir pencerede, renkli sekilde gosterir:

# Kurulum
apt-get install multitail   # Debian/Ubuntu
yum install multitail       # CentOS/RHEL

# Kullanim
multitail /var/log/nginx/access.log /var/log/nginx/error.log

grep ile Guclu Filtreleme

tail -f ciktilarini grep ile pipe’layarak cok spesifik filtrelemeler yapabilirsiniz:

# Sadece 5xx hatalarini goster
tail -f /var/log/nginx/access.log | grep -E " 5[0-9]{2} "

# Belirli bir endpoint'i izle
tail -f /var/log/nginx/access.log | grep "/api/payment"

# Birden fazla filtre (ve mantigi)
tail -f /var/log/nginx/access.log | grep "POST" | grep "/login"

# Birden fazla filtre (veya mantigi)
tail -f /var/log/nginx/access.log | grep -E "POST|PUT|DELETE"

awk ile Log Analizi

tail ciktisini awk‘a gondererek daha anlamli bilgiler cikarabilirsiniz:

# Sadece IP adreslerini ve HTTP status kodlarini goster
tail -n 100 /var/log/nginx/access.log | awk '{print $1, $9}'

# Sadece 200 OK olmayan istekleri goster
tail -n 500 /var/log/nginx/access.log | awk '$9 != 200 {print $1, $7, $9}'

watch ile Periyodik Kontrol

tail -f yerine bazi durumlarda watch komutuyla tail‘i birlestirebilirsiniz:

# Her 2 saniyede bir son 20 satiri yenile
watch -n 2 'tail -20 /var/log/nginx/error.log'

Gercek Dunya Senaryosu: DDoS Saldirisi Algilama

Bir aksam sunucunuzun load average’i aniden yukseldi. Ne yapiyorsunuz? Hemen log takibine basliyorsunuz:

# Canli trafigi izle
tail -f /var/log/nginx/access.log

Ekranda ayni IP’den saniyede onlarca istek goruyorsunuz. Simdi su komutla dogrulayabilirsiniz:

# Son 1000 istekte en cok istek yapan IP'leri bul
tail -n 1000 /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -rn | head -20

Cikti:

    847 185.220.101.45
    234 192.168.1.200
     12 10.0.0.1

185.220.101.45 IP’si son 1000 istekte 847 kez istek yapmis. Bu bir bot veya DDoS kaynagi. Simdi bu IP’yi engelleyebilirsiniz:

# Anlik olarak bu IP'yi izlemeye devam et
tail -f /var/log/nginx/access.log | grep "185.220.101.45"

Engelleme sonrasi bu satirin durmasini izliyorsunuz. Boyle bir senaryoda tail -f olmadan ne yapardik bilemiyorum.

Log Rotation ile Birlikte Calisma

tail -F kullanmaniz gereken en onemli durum log rotation’dir. Cron veya logrotate servisi gece yari log dosyalarini rotate ettiginde ne olur?

# logrotate sonrasi eski dosya
/var/log/nginx/access.log.1

# Yeni bos dosya
/var/log/nginx/access.log

Eger -f kullaniyorsaniz tail eski dosyayi (access.log.1) izlemeye devam eder, yeni dosyaya gecmez. -F kullaniyorsaniz bunu otomatik halleder:

# Guvenli ve akilli takip
tail -F /var/log/nginx/access.log

# systemd journal log takibi (logrotation derdi olmayan alternatif)
journalctl -fu nginx

tail ile systemd Journal Entegrasyonu

Modern Linux sistemlerinde bazi servisler syslog yerine direkt journald’a yazar. Bu durumda journalctl komutunun -f secenegi devreye girer, ama tail ile de entegre edebilirsiniz:

# journalctl canli izleme (tail -f muadili)
journalctl -fu nginx

# Son 50 satir + canli takip
journalctl -n 50 -fu php-fpm

# Belirli bir zaman araligindaki loglar
journalctl -u nginx --since "1 hour ago"

Pratikte her ikisini de bilmek gerekiyor, cunku bazi kurulumlar dosya bazli log, bazilari journal bazli calisiyor.

Performans Ipuclari

tail -f calisirken bazen terminali bir suru gereksiz satir doldurabilir. Bazi pratik ipuclari:

  • Buffer flush sorunu: tail -f ciktisini pipe’ladiginizda bazen satirlar anlinda gelmeyebilir. stdbuf -oL ile bunu cozebilirsiniz:
tail -f /var/log/nginx/access.log | stdbuf -oL grep "ERROR" | stdbuf -oL awk '{print $1, $9}'
  • Yuksek trafikli sunucularda: Saniyede binkerce istek alan sunucularda tail -f terminali cok hizli dolduracaktir. grep ile mutlaka filtreleyin.
  • Uzak sunucularda: SSH uzerinden tail -f yaparken baglanti koperse islem durur. screen veya tmux icinde calistirin:
screen -S log-takip
tail -f /var/log/nginx/error.log | grep "error|crit|emerg"
# CTRL+A D ile screen'den ayrilin, baglanti kopsa bile devam eder

Hizli Referans Tablosu

En cok kullanacaginiz kombinasyonlar:

  • tail -f dosya : Canli takip
  • tail -F dosya : Canli takip (log rotation destekli)
  • tail -n 100 dosya : Son 100 satir
  • tail -f dosya | grep "kelime" : Filtreli canli takip
  • tail -f dosya1 dosya2 : Coklu dosya takibi
  • tail -n +50 dosya : 50. satirdan itibaren
  • tail -c 1000 dosya : Son 1000 byte

Sonuc

tail komutu, gorunuste basit bir arac ama web sunucusu yonetiminde neredeyse her gun kullanacaginiz bir sysadmin silahi. Ozzellikle tail -f ve tail -F kombinasyonlarini, bunlari grep ve awk ile birlestirrmeyi ogrendiginizde log analizi cok daha hizli ve verimli hale geliyor.

Pratik tavsiyem su: Bir sonraki kez sunucunuzda bir sorun ciktiginda direk panik yapmak yerine tail -f /var/log/nginx/error.log yazin ve ekrana bakin. Cogu zaman cevap zaten oradadir, sadece okumasi gerekiyor.

Log okumak bir beceridir ve her okudukca daha iyi hale gelirsiniz. Zamanla hata mesajlarini taniyor, pattern’leri fark ediyor ve sorunlari cok daha hizli cozuyorsunuz. Bu da sizi daha iyi bir sysadmin yapan seylerden biri.