制作:吕家骏
原创作品,欢迎大家转载,共同学习。QQ:2471606943
1.分析日志文件
日志文件是用于记录linux系统中各种运行的消息文件。
日志主要包括三种类型。
> 内核及系统日志 :
由系统服务syslog统一管理,日志记录格式基本相同。
> 用户日志
:用于记录linux系统用户登录及退出系统的相关消息。
> 程序日志
:用于记录程序运行过程中的各种事件信息。
大部分服务器程序的日志文件默认存放在/var/log/目录下。
ls
/var/log 查看/log目录下的文件。
常见的日志文件。
> /var/log/messages :
记录内核消息及各种应用程序的公共日志消息。
> /var/log/cron :
记录crond计划任务的事件消息。
> /var/log/dmesg :
记录引导过程中的各种事件信息。
> /var/log/maillog
:记录邮箱事件信息。
> /var/log/lastlog :
记录用户的登录事件信息。
> /var/log/rpmpkgs :
记录安装各rpm包的列表信息。
> /var/log/secure :
记录用户认证相关的安全事件信息。
> /var/log/wtmp :
记录每个用户登录,注销,启动,关机事件。
> /var/run/btmp :
记录失败的,错误的登录尝试及验证事件。
日志文件分析
内核及系统日志
内核及系统日志功能主要由默认安装的 sysklogd-1.4.1-39.2
软件包提供,主要程序klogd.syslogd两个程序,配置文件为/etc/syslog.conf
grep -v "^$"
/etc/syslog.conf 查看配置文件/etc/syslog.conf中的内容,过滤掉空行。
优先级别,数字越小,级别越高。
> 0 EMERG (紧急)
:会导致主机系统不可用的情况
> 1 ALERT (警告)
:必须马上采取措施解决的问题
> 2 CRIT (严重)
:比较严重的情况
> 3 ERR (错误) :运行出现错误
> 4 WARNING (提醒)
:可能影响系统功能,需要提醒用户的重要事件。
> 5 NOTICE (注意)
:不会影响正常功能,但是需要注意的时间
> 6 INFO (信息) :一般信息
> 7 DEBUG
(调试):程序或系统调试信息等
内核及大多数系统消息都被记录到公共日志文件/var/log/messages中。
less
/var/log/messages 查看/var/log/messages文件的信息日志信息主要包括四个字段
> 时间标签 ; > 主机名 ;> 子系统名称
; > 消息 。
用户日志
users
查看当前登录的用户名称
who
查看当前登录到系统的用户信息
w
查看当前系统中每个用户及所运行的进程信息
last 查询成功登录到系统的用户记录lastb 查询登录失败的用户记录tail /var/log/secure
查看/var/log/secure文件中的内容程序日志的注意事项:
>
用户在非常规的时间登录,或者登录的IP地址和以往不一样。
> 用户登录失败的日志记录, 尤其是连续尝试登录失败的日志。
> 非法使用或不正当使用超级用户权限。
>
无缘无故或者非法重启各项网络服务的记录。
> 不正常的日志记录,比如日志残缺不全。