关于服务器(Linux)日志分析的一些总结

最新推荐文章于 2024-07-26 07:59:37 发布
最新推荐文章于 2024-07-26 07:59:37 发布
阅读量1.3k 收藏 14
点赞数 1
文章标签: centos linux 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51233573/article/details/130694119
版权
文章介绍了服务器取证过程中的一些关键步骤,包括熟悉网站架构,关注日志文件如/var/log下的各种日志,使用grep、find、sed等命令进行日志分析,检查异常端口和进程,分析定时任务以及web服务器配置。此外,还提到了宝塔面板的默认设置和日志位置,强调了在实际取证中的重要性。
摘要由CSDN通过智能技术生成

对在服务器取证当中一些文件和命令的简单总结,个人认为服务器取证,需要先熟悉网站的架构,在实际的取证过程中思路也比较重要要多总结不同类型的网站从何处入手。

1.日志默认存放位置

/var/log

more /etc/rsyslog.conf 查看日志配置情况

2.常见的日志文件

 3.重要的日志

/var/log/btmp 登录失败日志 lastb

/var/log/lastlog 最后一次日志 lastlog

/var/log/wtmp 登录成功日志 last

/var/log/secure 登录日志记录

/var/run/utmp 登录用户信息 w who users

历史命令记录 history

4.日志分析常用的系统命令

Linux常用的shell命令:find grep egrep awk sed

1、grep显示前后几行信息:

​ 标准unix/linux下的grep通过下面參数控制上下文:

​ grep -C 5 foo file 显示file文件里匹配foo字串那行以及上下5行

​ grep -B 5 foo file 显示foo及前5行

​ grep -A 5 foo file 显示foo及后5行

​ 查看grep版本号的方法是

​ grep -V

2、grep 查找含有某字符串的所有文件

grep -rn "hello,world!"

* : 表示当前目录所有文件,也可以是某个文件名

-r 是递归查找

-n 是显示行号

-R 查找所有文件包含子目录

-i 忽略大小写

3、如何显示一个文件的某几行:

cat input_file | tail -n +1000 | head -n 2000

#从第1000行开始,显示2000行。即显示1000~2999行

4、find /etc -name init

//在目录/etc中查找文件init

5、只是显示/etc/passwd的账户

cat /etc/passwd |awk -F ':' '{print $1}'

//awk -F指定域分隔符为':',将记录按指定的域分隔符划分域,填充域,​$0则表示所有域,$1表示第一个域,​$n表示第n个域。

6、sed -i '152,$d' .bash_history

删除历史操作记录,只保留前152行

5.分析异常端口

使用netstat 网络连接命令,分析可疑端口、IP、PID

netstat -anp|more

netstat -antlp|more

查看下pid所对应的进程文件路径,

运行ls -l /proc/$PID/exe($PID 为对应的pid 号)

6.异常进程

使用ps命令,分析进程

ps aux | grep $PID($PID 为对应的pid 号

7.定时任务分析

crontab -l 列出某个用户cron服务的详细内容

默认编写的crontab文件会保存在 (/var/spool/cron/用户名

例如:

/var/spool/cron/root

crontab -r 删除每个用户cront任务(谨慎:删除所有的计划任务)

crontab -e 使用编辑器编辑当前的crontab文件

重点关注:

/var/spool/cron/*

/etc/crontab

/etc/cron.d/*

/etc/cron.daily/*

/etc/cron.hourly/*

/etc/cron.monthly/*

/etc/cron.weekly/

/etc/anacrontab

/var/spool/anacron/*

可以使用 more /var/spool/cron/* 快速查看

8.检查服务

查询已安装的服务:

Chkconfig –list (RedHat Centos)

系统在3与5级别下的启动项

chkconfig --list | grep "3:on|5:on"

sysv-rc-conf –list (Debian Ubuntu)

系统在3与5级别下的启动项

sysv-rc-conf --list |grep "3:on|5:on"

9.linux配置文件

/etc/mysql/my.cnf(记录mysql的配置信息)

/etc/crontab(记录定时任务的配置信息)

/etc/rc.local(记录开机启动任务的配置信息)

/etc/passwd(记录一些用户账号信息,包括密码)

/etc/shadow(记录加密后的用户账号密码信息,还可以包括密码时效信息)

/etc/group(记录有效的组名称和指定组中包括的用户)

10.web相关配置文件

/etc/mysql/my.cnf(记录mysql的配置信息)

/etc/crontab(记录定时任务的配置信息)

/etc/rc.local(记录开机启动任务的配置信息)

/etc/passwd(记录一些用户账号信息,包括密码)

/etc/shadow(记录加密后的用户账号密码信息,还可以包括密码时效信息)

/etc/group(记录有效的组名称和指定组中包括的用户)

11.常见web服务器的日志存储位置

apache /var/log/httpd/access_log

nginx /var/log/nginx/access.log

lls C:\inetpub\logs\LogFiles\W3SVC1\u_exYYMMDD.log

tomcat /usr/local/tomcat/logs/access_log.yyyy-mm-dd.txt

12.宝塔取证

宝塔取证在当前很多取证比赛当中都会涉及需要实际搭建宝塔环境进行测试

列举了在实际取证中个人认为比较重要的几点

1.默认端口8888

2. 域名限制文件(有的网站会添加域名限制导致无法访问)

/www/server/panel/data/domain.conf

3.bt default 查看宝塔默认登录面板地址

bt 查看默认指令  (可能会对网站的访问做出限制需要在面板当中的进行关闭)

4.宝塔当中的web服务器日志

/www/wwwlogs/ 分网站记录服务器访问日志

爱喝旺仔的旺旺
关注
服务器日志分析.pptx
06-25
顺网大课堂-12月 导师:E城大叔 服务器日志分析全文共24页,当前为第1页。 目 录 CONTENTS 服务器设置相关介绍 1 服务器系统日志相关概括 2 9000产品问题跟踪概况 服务器日志分析全文共24页,当前为第2页。 服务器安全防护措施 背景:网维服务器上不需要装任何杀软的,因为杀软有时候会误杀某些游戏里的 文件,还会引起网维服务端灰的问题,那么有人问了,安全怎么得到保障呢? 1.关闭所有的共享,就是禁止 server服务,禁止防火墙服务Windows Firewall (另外是尽量不要插不安全的U盘) 服务器日志分析全文共24页,当前为第3页。 当月修复8个主要bug 2.用户里面只要一个administ rator用户就可以了,重要的是 把administrator用户设置个复杂 点的密码 服务器日志分析全文共24页,当前为第4页。 Part 2 3.不要在服务器上打开网站什么的,因为 有的网站上都挂马的,看不到的,还有最 好装个影子(radmin),因为我经常远程别人 ,总是上QQ在和我远程的。这样的话,服 务器安全基本没问题了,不可以说是100%, 至少说,我这样做还
转载和积累系列 - 分析服务器日志常用命令
自娱自乐的代码人
06-12 1386
1、查看有多少个IP访问:awk '{print $1}' log_file|sort|uniq|wc -l2、查看某一个页面被访问的次数:grep "/index.php" log_file | wc -l3、查看每一个IP访问了多少个页面:awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file > log.txtsort -n -t '
linux 日志大全
最新发布
jylee的博客
07-26 1186
一、filebeat 日志空格介绍在 filebeat 中,日志空格是指一个文本块中的空白字符。当 filebeat 读取日志文件时,会将日志文本分割成多个每行的文本块,然后解析每个文本块以提取重要信息。在默认情况下,filebeat 使用空格分割日志文本块。如果您的文本块中包含其他分隔符,您可以使用正则表达式或多个分隔符来定义您的分隔符。二、filebeat 设置日志空格在 filebeat 中设置日志空格非常简单。
IIS Web服务器日志日志服务器分析
weixin_42434696的博客
08-08 4713
IIS Web服务器日志日志服务器分析    EventLog Analyzer是一款全面的工具,用于审计、管理和跟踪您的Microsoft Internet Information Services(IIS)服务器日志,并为您提供关于文件和Web服务器的重要洞察。此报表工具为IIS Web服务器和IIS FTP日志服务器日志提供了即用支持,并提供深入的报表,帮助您提高企业生产效率和增强无缝访问...
常见服务器日志分析
Vlary的博客
07-04 3247
Apache 日志位置 ​ 在linux系统中,apache也就是apache2,默认的位置是在/var/log/apache2目录下,错误日志为error.log,访问日志一般带有access.log。 访问日志分析 日志示例 192.168.1.20 - - [22/Apr/2020:15:27:49 +0800] "GET /1/index.php HTTP/1.1" 404 490 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:45.0) G
服务器日志分析
weixin_30329623的博客
11-14 248
0X00前言 昨天看群里有人问,应急的时候怎么对日志进行分析, 然后我推荐360星图,然后有了此文,本篇介绍日志分析常用工具和命令 0X01日志在哪里 首先我想到的是 容器(iis/Apache/nginx)日志,(mysql/mssql)数据库日志,还有系统日志,那么系统日志可以看下下面两篇。 http://jingyan.baidu....
Linux配置日志服务器的图文教程
01-10
本文主要介绍的是关于Linux配置日志服务器的相关内容,分享出来供大家参考学习,下面话不多说了,来一起看看详细的介绍吧 日志服务器配置文件:/etc/rsyslog.conf 服务器端: 服务器IP如下: 编辑日志服务器的配置...
win实时查看linux服务器日志
12-23
在Windows环境下,我们可以通过一些工具实现远程实时查看Linux服务器日志,这大大提升了跨平台工作的效率。本文将深入探讨如何在Windows系统下实现这个功能,并介绍一个名为"tailf"的命令,它在Linux环境中常用于...
Linux服务器日志文件查找技巧精粹-电脑资料.doc
12-21
Linux服务器日志文件查找技巧精粹是指在Linux服务器中查找和分析日志文件的技术和策略。日志文件是服务器中记录事件和活动的文件,对于服务器的安全和性能监控非常重要。以下是Linux服务器日志文件查找技巧精粹的...
如何建立LINUX日志管理服务器.pdf
09-07
"如何建立LINUX日志管理服务器" 在现代计算机系统中,日志管理是非常重要的一方面。日志记录是系统设备在运行过程中报告其运行情况而设的,为确保系统正常运行,解决每一天可能遇到的各种问题,系统管理员必须认真...
linux推送日志日志服务器,linux日志发送到日志服务器
weixin_36393718的博客
04-29 2158
上一篇我们介绍了rsyslog配置文件。在现网环境中,无论是为了把日志存储更长的时间还是为了分析日志的方便性,我们通常会把日志发送到日志服务器或是日志收集分析系统上。接下来我们介绍一下如何配置。实验环境: RHEL 7实验目的: 我们把client上info级别以上的所有日志都发送到日志服务器192.168.202.130上。client:定义info级别日志,并发送到日志服务器上,在下列位置插入...
对网站服务器日志进行分析
缘 源 园
03-12 900
服务器日志的定义: 服务器日志 记录服务器接收客户端处理请求,并记录服务器对这条请求处理结果以.log结尾的文件 服务器日志服务器自动生成的,一般以日期命名 可以用来记事本直接打开查看 服务器日志的作用 了解搜索引擎抓取网页的相关数据 到访抓取等数据 了解网站内容及链接是否正常 http状态码及爬行收录情况 对网站维护有非常重要的指导作用 根据蜘蛛爬行的频率等,判断蜘蛛喜好及文章质量的高低 服务器日志的获取: 不同的空间存放不一样,我们以西部数码Linux为例 服务..
Web服务器日志分析
Kali与编程
01-30 1520
Web服务器日志是Web应用程序管理和维护的重要工具,记录了所有用户请求和响应的信息,可以通过分析日志文件了解用户的访问情况、性能瓶颈、行为习惯、兴趣爱好等信息,从而可以进行流量控制、访问限制、优化改善、安全评估等工作。通过分析日志文件,可以了解Web应用程序的访问情况,如用户访问的时间、访问频率、IP地址等信息,从而可以进行流量控制和访问限制,提高Web服务器的性能和稳定性。Web服务器日志可以记录用户的登录和操作信息,帮助管理员追踪用户的登录行为和操作记录,加强Web应用程序的安全保护和用户隐私保护。
服务器日志分析命令
生而无畏,战至终章
04-11 364
服务器日志分析命令 1、查看有多少个IP访问: awk '{print $1}' log_file|sort|uniq|wc -l 2、查看某一个页面被访问的次数: grep "/index.php" log_file | wc -l 3、查看每一个IP访问了多少个页面: awk '{++S[$1]} END {for (a in S) print a,S[a]}' log_file > log.txt sort -n -t ' ' -k 2 log.txt 配合sort进一步排序 4、将每个I
linux服务器日志管理详解,Linux服务器日志管理详解(一)
weixin_39629679的博客
05-02 105
日志对于安全来说,非常重要,他记录了系统每天发生的各种各样的事情,你可以通过他来检查错误发生的原因,或者受到攻击时攻击者留下的痕迹。日志主要的功能有:审计和监测。他还可以实时的监测系统状态,监测和追踪侵入者等等。在Linux系统中,有三个主要的日志子系统:连接时间日志--由多个程序执行,把纪录写入到/var/log/wtmp和/var/run/utmp,login等程序更新wtmp和utmp文件,...
学会查看服务器日志
热门推荐
qq_24181587的博客
12-20 2万+
使用linux命令查看日志。 首先需要先安装一个ssh工具,ssh工具有很多,但对于测试来说其实也没有什么很大的差别,如果想要免费的可以使用putty,如果想要功能强大的可以选择使用SecureCRT (但这个是收费的,需要自己寻找破解版)。   当有了ssh工具之后就可以连接测试服务器了,连接的要素有4个(开发或者运维都会告诉你): ip地址 连接的端口 账号 ...
网站服务器日志分析,SEO必备:网站日志分析
weixin_29496207的博客
08-03 1009
作为一名seoer,对一、网站日志可以为我们做什么?1、 可以分析爬虫抓取页面有效性(减少搜索引擎在一些噪音页面上:重复页面,低质量页面,空内容页面,404页面,不排名页面 的抓取频率);2、排查网站页面中存在的404错误页面,500服务器错误等3、页面重要内容是否被爬虫完整爬到并且快速遍历;4、正确分辨蜘蛛爬虫二、常见HTTP状态码解读1、200代码,表示蜘蛛爬取正常2、404代码,访问的这个链...
服务器日志常规分析方法
wherwh的专栏
12-15 1904
1.异常分析 在日志文件中搜索“异常”。 常见的是数据库操作异常,其中最常见的是“违反唯一约束”。 如果是单据传输,自动按照冲突解决方式处理.通常采用更新方式,即用新的数据覆盖原来的数据. 只要不会反复处理同一消息,则可以忽略这种异常. 数据库异常可能揭示了系统存在的问题: 。超时:可能是性能问题 。无效的语句:程序错误,转义处理 。数据被截断:字段太短 2.系统阻塞 在日志
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值