Linux常用命令（十二）日志文件分析

                        Linux常用命令（十二）日志文件分析

日志文件是用于记录Linux系统中各种运行消息的文件，相当于Linux主机的“日记”。不同的日志文件记载了不同类型的信息，如Linux内核消息、用户登录事件、程序错误等。

一、主要日志文件

    

      在Linux系统中，日志数据主要包括以下三种类型。

■ 内核及系统日志: 这种日志数据由系统服务rslslog统一管理，根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中有相当一部分程序会把自己的日志文件交由rsyslog管理，因而                              这些程序使用的日志记录也具有相似的格式。

■ 用户日志：这种日志数据用于记录Linux系统用户登录及退出系统的相关信息，包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。

■ 程序日志：有些应用程序会选择由自己独立管理一份日志文件（而不是交给rsyslog服务管理），用于记录本程序运行过程中的各种事件信息。由于这些程序只负责管理自己的日志文件，因此不同程序所使用的日志记录格式可能会存在                     较大的差异。

    

    Linux系统本身和大部分服务器程序的日志文件默认都放在目录/var/log/下。一部分程序共用一个日志文件，一部分程序使用单个日志文件，而有些大型服务器程序由于日志文件不止一个，所以会在/var/log/目录中建立相应的子目录来存放日志文件，这样既保证了日志文件目录的结构清晰，又可以快速定位日志文件。有相当一部分日志文件只有root用户才有权限读取，这保证了相关日志信息的安全性。

对于Linux系统中的日志文件，有必要了解其各自的用途，这样才能在需要的时候更快地找到问题所在，及时解决各种故障。下面介绍常见的一些日志文件。

■ /var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息，包括启动、1/0错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务，一般都可以从该日志文件中获得相关的事件记录信息。

■ /var/log/cron:记录crond计划任务产生的事件信息。

■ /var/log/dmesg:记录Linux系统在引导过程中的各种事件信息。

■ /var/log/maillog:记录进入或发出系统的电子邮件活动。

■ /var/log/lastlog:记录每个用户最近的登录事件。

■ /var/log/secure:记录用户认证相关的安全事件信息。

■ /var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。

■ /var/log/btmp:记录失败的、错误的登录尝试及验证事件。

二、日志文件分析

熟悉了系统中的主要日志文件以后，下面将介绍针对日志文件的分析方法。

1、内核及系统日志

内核及系统日志功能主要有默认安装的rsyslog-5.8.10-8.el6.x86_64软件包提供。rsyslog服务所使用的配置文件为/etc/rsyslog.conf。通过查看/etc/rsyslog.conf文件中的内容，可以了解到系统默认的日志设置。

[root@twgdh ~]# grep -v "^$" /etc/rsyslog.conf        //过滤掉空行

从配置文件/etc/rsyslog.conf中可以看到，受rsyslogd服务管理的日志文件都是Linux系统中最主要的日志文件，它们记录了Linux系统中内核、用户认证、邮件、计划任务等最基本的系统消息。在Linux内核中，根据日志消息的重要程度不同，将其分为不同的优先级别（数字等级越小，优先级越高，消息越重要）。

■ 0 EMERG（紧急）：会导致主机系统不可用的情况。

■ 1 ALERT（警告）：必须马上采取措施解决的问题。

■ 2 CRIT（严重）：比较严重的情况。

■ 3 ERR（错误）：运行出现错误。

■ 4 WARNING（提醒）：可能影响系统功能，需要提醒用户的重要事件。

■ 5 NOTICE（注意）：不会影响正常功能，但是需要注意的事件。

■ 6 INFO（信息）：一般信息。

■ 7 DEBUG（调试）：程序或系统调试信息等。

   

内核及大多数系统消息都被记录到公共日志文件/var/log/messages中，而其他一些程序消息被记录到各自独立的日志文件中，此外日志消息还能够记录到特定的存储设备中，或者直接发送给指定用户。

[root@twgdh ~]# more /var/log/messages

对于rsyslog服务统一管理的大部分日志文件，使用的日志记录格式基本上都是相同的。以公共日志/var/log/messages文件的记录格式为例，其中每一行表示一条日志消息，每一条消息均包括以下四个字段。

■ 时间标签：消息发出的日期和时间。

■ 主机名：生成消息的计算机的名称。

■ 子系统名称： 发出消息的应用程序的名称。

■ 消息：消息的具体内容。

    在有些情况下，可以设置rsyslog，使其在把日志信息记录到文件的同时将日志信息发送到打印机进行打印，这样可以防止网络***者清除***痕迹。

2.用户日志

在wtmp、btmp、lastlog等日志文件中，保存了系统用户登录、退出等相关的事件消息。但是这些文件都是二进制的数据文件，不能直接使用tail、less等文本查看工具进行浏览，需要使用who、w、users、last和lastb等用户查询命令来获取日志信息。

（1）、查询当前登录的用户情况—users、who、w命令

users命令只是简单地输出当前登录的用户名称，每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他的用户名将显示与其相同的次数。 

[root@twgdh ~]# users
root root                     //root用户打开两个终端

who命令用于报告当前登录到系统中的每个用户的信息。使用该命令，系统管理员可以查看当前系统存在哪些不合法用户，从而对其进行审计和处理。who的默认输出包括用户名、终端类型、登录日期及远程主机。

 

[root@twgdh ~]# who
root     tty2         2017-12-10 05:27
root     pts/0        2017-12-10 05:30 (192.168.1.123)

  w命令用于显示当前系统中的每个用户及其所运行的进程信息，比users、who命令的输出内容要更加丰富一些。

[root@twgdh ~]# w
 06:09:33 up 43 min,  2 users,  load average: 0.00, 0.00, 0.00
USER     TTY      FROM              LOGIN@   IDLE   JCPU   PCPU WHAT
root     tty2     -                05:27   40:06   0.06s  0.06s -bash
root     pts/0    192.168.1.123    05:30    0.00s  0.13s  0.09s w

 

（2）、查询用户登录的历史记录

   last命令用于查询成功登录到系统的用户记录，最近的登录情况将显示在最前面。通过last命令可以及时掌握Linux主机的登录情况，若发现未经授权的用户登录过，表示当前主机可能已被***。

[root@twgdh ~]# last
root     pts/0        192.168.1.123    Sun Dec 10 05:30   still logged in   
root     tty2                          Sun Dec 10 05:27   still logged in   
reboot   system boot  2.6.32-431.el6.x Sun Dec 10 05:26 - 06:15  (00:49)    
root     pts/1        :0.0             Fri Aug 25 18:28 - down   (00:13)    
root     pts/0        :0.0             Fri Aug 25 18:13 - down   (00:29)    
root     tty1         :0               Fri Aug 25 18:12 - down   (00:29)    
reboot   system boot  2.6.32-431.el6.x Fri Aug 25 18:11 - 18:42  (00:31)    
。。。。。。//省略部分内容

lastb命令用于查询登录失败的用户记录，如登录的用户名错误、密码不正确等情况都将记录在案。用于登录失败的情况属于安全事件，因为这表示可能有人在尝试猜解你的密码。除了使用lastb命令查看以外，也可以直接从安全日志文件/var/log/secure中获得相关信息。

[root@twgdh ~]# lastb
root     tty1         :0               Fri Aug 25 18:12 - 18:12  (00:00)    
(unknown tty1         :0               Thu Aug 24 04:29 - 04:29  (00:00)    
 
btmp begins Thu Aug 24 04:29:28 2017

或

[root@twgdh ~]# tail /var/log/secure 
Aug 25 18:12:56 twgdh polkitd(authority=local): Registered Authentication Agent for session /org/freedesktop/ConsoleKit/Session2 (system bus name :1.43 [/usr/libexec/polkit-gnome-authentication-agent-1], object path /org/gnome/PolicyKit1/AuthenticationAgent, locale zh_CN.UTF-8)
……//省略部分内容

3、程序日志

在Linux系统中，还有相当一部分应用程序并没有使用rsyslog服务来管理日志，而是由程序自己维护日志记录。

例如，httpd网站服务程序使用两个日志文件access_log和error_log,分别记录客户访问事件、错误事件。不同的应用程序的日志记录格式差别较大，并没有严格使用统一格式。

一名合格的系统管理人员，应该提高警惕，随时注意各种可疑状况，定期并随机地检查各种系统日志文件。出现以下一些现象就应多加注意。

■ 用户在非常规的时间登陆，或者用户登录系统的ip地址和以往不一样。

■ 用户登录失败的日志记录，尤其是哪些一再连续尝试进入失败的日志记录。

■ 非法使用或不正当使用超级用户权限。

■ 无故或者非法重新启动各项网络服务的记录。

■ 不正常的日志记录，如日志残缺不全，或者是诸如wtmp这样的日志文件无故缺少了中间的记录文件。

    另外，尤其提醒管理人员需要注意的是，日志并不是完全可靠的，高明的何可在***系统后，经常会打扫现场。

转载于:https://blog.51cto.com/houliangjin/2049073