日志文件分析
一 分析日志文件
日志文件是用于记录Linux系统中各种运行消息的文件,相当于Linux主机的“日记”
日志文件对于诊断和解决系统中的问题很有帮助,系统一旦出现问题时及时分析日志就会“有据可查”。此外,当主机遭受攻击时,日志文件还可以帮助寻找攻击者留下的痕迹
不同的日志文件记载了不同类型的信息,例如Linux内核消息、用户登录记录、程序错误等
·日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
·日志文件的分类
1内核及系统日志
由系统服务syslog统一进行管理,日志格式基本相似;根据其主配置文件/etc/syslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置
2用户日志
记录系统用户登录及退出系统的相关信息;包括用户名、登陆的终端、登陆时间、来源主机、正在使用的进程操作等
3程序日志
由各种应用程序独立管理的日志文件,记录格式不统一;
·日志文件保存位置及介绍
大部分日志文件默认都放在目录/var/log/下;一部分程序公用一个日志文件,一部分程序使用单个日志文件,而有些大型服务器程序的日志文件不止一个,会在/var/log/创建多个子目录来存放日志;大部分日志文件只有root用户才有权读取
其中
/var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。
/var/log/cron:记录crond计划任务产生的事件信息。
/var/log/dmesg:记录Linux系统在引导过程中的各种事件信息。
/var/log/maillog:记录进入或发出系统的电子邮件活动。
/var/log/lastlog:记录每个用户最近的登录事件。
/var/log/rpmpkgs:记录系统中安装的各rpm包列表信息。
/var/log/secure:记录用户认证相关的安全事件信息。
/var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。
/var/run/btmp:记录失败的、错误的登录尝试及验证事件。
·日志文件的分析
分析日志文件的目的在于通过浏览日志查找关键信息,对系统服务进行调试,以及判断发生故障的原因等;
对于大多数日志文件(内核及系统日志、大多数程序日志),只要使用tail、more、less、cat等命令处理工具查看即可;而对于一些二进制格式的日志文件(用户日志),则需要使用特定的查询命令
1内核及系统日志分析
软件包:sysklogd-1.4.1-39.2 ;提供了klogd、syslogd两个程序
主要程序:/sbin/klogd、/sbin/syslogd;分别用于记录系统内核的消息和各种应用程序的消息
配置文件:/etc/syslog.conf
由系统服务syslogd 统一管理
通过查看/etc/syslog.conf文件中的内容,可以了解到系统默认的日志设置,可以设置日志记录的位置等(本地或者远程服务器)
日志消息的级别
0 EMERG(紧急):会导致主机系统不可用的情况
1 ALERT(警告):必须马上采取措施解决的问题
2 CRIT(严重):比较严重的情况
3 ERR(错误):运行出现错误
4 WARNING(提醒):可能会影响系统功能的事件
5 NOTICE(注意):不会影响系统但值得注意
6 INFO(信息):一般信息
7 DEBUG(调试):程序或系统调试信息等
执行以下命令可以查看帮助信息中的日志级别部分
日志记录的一般格式
内核及系统日志文件中的每一行表示一条消息,每个消息由4个字段的固定格式组成:
时间标签:消息发出的日期和时间
主机名:生成消息的计算机的名字
子系统名称:发出消息的应用程序名称
消息:消息的具体内容
2用户日志分析
保存了用户登录、退出系统等相关信息;属于二进制的数据文件,需要用专门的命令查询
/var/log/lastlog:最近的用户登录事件
/var/log/wtmp:用户登录、注销及系统开、关机事件
/var/run/utmp:当前登录的每个用户的详细信息
/var/log/secure:与用户验证相关的安全性事件
分析工具
users 命令:当前用户登录的会话有几个
Who命令:登录到系统的每个用户的信息;包括用户名、终端类型、登录日期以及远程主机
w命令:比who更丰富的内容,还包括了每个用户及其所运行的进程信息
Last命令:查询用户登录的历史记录
Lastb命令:查询登录失败的用户记录
也可以通过查看安全日志文件/var/log/secure中的内容获得相关信息
3程序日志分析
由相应的应用程序独立进行管理,自己维护日志记录
Web服务:/var/log/httpd/
access_log、error_log
代理服务:/var/log/squid/
access.log、cache.log、squid.out、store.log
FTP服务:/var/log/xferlog
分析工具
文本查看、grep过滤检索、Webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
Webalizer、Awstats等专用日志分析工具
·日志文件的管理策略
日志管理策略
1及时作好备份和归档
2延长日志保存期限
3控制日志访问权限,日志中可能会包含各类敏感信息,如账户、口令等
4集中管理日志,便于日志信息的统一收集、整理和分析;杜绝日志信息的意外丢失、恶意篡改或删除
二 应用实例
实验目的:建立集中管理的日志服务器,将客户机中服务产生的日志消息,自动发送到服务器中的指定文件
实验环境:两台linux5,一台做服务器,一台做客户机,如图所示
实验要求:将客户机B中crond服务产生的日志消息,自动发送到服务器A的/var/log/cron文件中
实验步骤:
1在服务器上调整syslogd服务设置,开启服务器功能
服务器的配置文件是/etc/sysconfig/syslog
修改配置项
其中
“-r”选项表示允许接收其他主机发送过来的日志记录
“-x”选项表示不进行DNS域名解析
“-m“选项表示记录日志时的时间标记间隔(设为0禁用该功能)
“-s”选项表示指定客户机地址(指定谁可以发送自己的日志文件到服务器上)
重启服务
开启514号端口
2配置客户端日志记录的文件位置
添加服务器地址(如果保留原来的配置,表示同时在本地和远程主机上记录)
重启服务
3在客户端新建计划任务,观察服务器的日志变换
本文【linux系统日志文件在哪_linux系统日志文件目录】由作者: 主键 提供,本站不拥有所有权,只提供储存服务,如有侵权,联系删除!
本文链接:https://www.cuoshuo.com/blog/4205.html
