oracle如何通过日志排查错误,Ubuntu通过系统日志排查错误检测安全性

Ubuntu通过系统日志排查错误检测安全性

一.前言：使用ubuntu系统也算有一段时间啦，也遇见过不少错误。虽然每次都能通过百度解决，但是总感觉有一种被授之于鱼的感觉。自己也想做一个授之于渔的人，所以从系统日志中寻找错误原因并解决是必不可少的，同时也是对未知的探索，一定很有趣。此片博客记录Ubuntu系统日志和应用软件日志(比如eclipse)的查看，以及通过这些日志我们能获得什么有用信息。养成查看日志分析问题解决问题的能力。

二.Ubuntu系统日志查看

1.日志存放位置：/var/log/

2.记录信息分类：

/var/log/alternatives.log-更新替代信息都记录在这个文件中

/var/log/apport.log -应用程序崩溃记录

/var/log/apt/ -用apt-get安装卸载软件的信息

/var/log/auth.log -登录认证log

/var/log/boot.log -包含系统启动时的日志。

/var/log/btmp -记录所有失败启动信息

/var/log/Consolekit - 记录控制台信息

/var/log/cpus - 涉及所有打印信息的日志

/var/log/dist-upgrade - dist-upgrade这种更新方式的信息

/var/log/dmesg -包含内核缓冲信息(kernel ringbuffer)。在系统启动时，显示屏幕上的与硬件有关的信息

/var/log/dpkg.log - 包括安装或dpkg命令清除软件包的日志。

/var/log/faillog - 包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。

/var/log/fontconfig.log -与字体配置有关的log。

/var/log/fsck - 文件系统日志

/var/log/faillog -包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。

/var/log/kern.log –包含内核产生的日志，有助于在定制内核时解决问题。

/var/log/lastlog —记录所有用户的最近信息。这不是一个ASCII文件，因此需要用lastlog命令查看内容。

/var/log/faillog –包含用户登录失败信息。此外，错误登录命令也会记录在本文件中。

/var/log/lightdm/

/var/log/mail/ – 这个子目录包含邮件服务器的额外日志。

/var/log/mail.err -类似于上面的

/var/log/news/

/var/log/pm-powersave.log

/var/log/samba/ –包含由samba存储的信息。

/var/log/syss.log

/var/log/speech-dispacher/

/var/log/udev

/var/log/ufw.log

/var/log/upstart/

/var/log/uattended-upgrades/

/var/log/wtmp —包含登录信息。使用wtmp可以找出谁正在登陆进入系统，谁使用命令显示这个文件或信息等。

/var/log/xorg.*.log— 来自X的日志信息。

三.系统日志使用排查错误

1)查找登录失败原因，分析系统安全

通过auth.log文件可以查看登录失败的和登录成功但可疑的用户。当有人通过不正当或无效的凭据来登录时会出现认证失败，这通常发生在使用 SSH 进行远程登录或 su 到本地其他用户来进行访问权时。这些是由插入式验证模块(PAM)来记录的。在你的日志中会看到像 Failed password 和 user unknown 这样的字符串。而成功认证记录则会包括像 Accepted password 和 session opened 这样的字符串。可以使用 grep 来查找哪些用户失败登录的次数最多。这些都是潜在的攻击者正在尝试和访问失败的账户。

$ grep "invalid user" /var/log/auth.log | cut -d ' ' -f 10 | sort | uniq -c | sort -nr

23 oracle

18 postgres

17 nagios

10 zabbix

6 test

2)重启的原因

有时候，一台服务器由于系统崩溃或重启而宕机。你怎么知道它何时发生，是谁做的？

关机命令

如果有人手动运行 shutdown 命令，你可以在验证日志文件中看到它。在这里，你可以看到，有人从 IP 50.0.134.125 上作为 ubuntu 的用户远程登录了，然后关闭了系统。

Mar 19 18:36:41 ip-172-31-11-231 sshd[23437]: Accepted publickey for ubuntu from 50.0.134.125 port 52538 ssh

Mar 19 18:36:41 ip-172-31-11-231 23437]:sshd[ pam_unix(sshd:session): session opened for user ubuntu by (uid=0)

Mar 19 18:37:09 ip-172-31-11-231 sudo: ubuntu : TTY=pts/1 ; PWD=/home/ubuntu ; USER=root ; COMMAND=/sbin/shutdown -r now

3)内核初始化

如果你想看看服务器重新启动的所有原因(包括崩溃)，你可以从内核初始化日志中寻找。你需要搜索内核类(kernel)和 cpu 初始化(Initializing)的信息。

Mar 19 18:39:30 ip-172-31-11-231 kernel: [ 0.000000] Initializing cgroup subsys cpuset

Mar 19 18:39:30 ip-172-31-11-231 kernel: [ 0.000000] Initializing cgroup subsys cpu

Mar 19 18:39:30 ip-172-31-11-231 kernel: [ 0.000000] Linux version 3.8.0-44-generic (buildd@tipua) (gcc version 4.6.3 (Ubuntu/Linaro 4.6.3-1ubuntu5) )

#66~precise1-Ubuntu SMP Tue Jul 15 04:01:04 UTC 2014 (Ubuntu 3.8.0-44.66~precise1-generic 3.8.13.25)

四.应用软件日志

一般像eclipse等软件会在帮助中提供日志的存放目录，例如：帮助- > 关于 -> 配置详细信息 -> 查看错误日志。也可以直接进入存放目录，但是要注意一般会隐藏日志文件，需要管理员命令。比如我的日志便存放在工作空间.->.metadata->.log

ubuntu@name:~/eclipse-workspace$ ls -a

. HelloWord qiruan RemoteSystemsTempFiles

.. .metadata .recommenders Servers

ubuntu@name:~/eclipse-workspace$ cd .metadata/

ubuntu@name:~/eclipse-workspace/.metadata$ ls -a

. .. .lock .log .mylyn .plugins version.ini

ubuntu@name:~/eclipse-workspace/.metadata$