系统日志分析
4.1 问题
本例要求熟悉Linux系统中的常见日志文件,使用必要的命令工具完成下列任务:
列出所有包含关键词8909的系统日志消息
查看启动时识别的鼠标设备信息
列出最近2条成功/不成功的用户登录消息
列出最近10条重要程度在 ERR 及以上的日志消息
列出所有与服务httpd相关的消息
列出前4个小时内新记录的日志
- 1
- 2
- 3
- 4
- 5
- 6
4.2 方案
常见的系统日志及各自用途:
/var/log/messages,记录内核消息、各种服务的公共消息
/var/log/dmesg,记录系统启动过程的各种消息
/var/log/cron,记录与cron计划任务相关的消息
/var/log/maillog,记录邮件收发相关的消息
/var/log/secure,记录与访问限制相关的安全消息
- 1
- 2
- 3
- 4
- 5
日志消息的优先级(高–>低):
EMERG(紧急):级别0,系统不可用的情况
ALERT(警报):级别1,必须马上采取措施的情况
CRIT(严重):级别2,严重情形
ERR(错误):级别3,出现错误
WARNING(警告):级别4,值得警告的情形
NOTICE(注意):级别5,普通但值得引起注意的事件
INFO(信息):级别6,一般信息
DEBUG(调试):级别7,程序/服务调试消息
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
RHEL7提供的journalctl日志工具的常见用法:
journalctl | grep 关键词
journalctl -u 服务名 -p 优先级
journalctl -n 消息条数
journalctl --since="yyyy-mm-dd HH:MM:SS" --until="yyyy-mm-dd HH:MM:SS"
- 1
- 2
- 3
- 4
4.3 步骤
实现此案例需要按照如下步骤进行。
步骤一:分析系统日志及用户日志
1)列出所有包含关键词8909的系统日志消息
简单模拟一个故障(SELinux阻止Web开放8909端口):
[root@svr7 ~]# vim /etc/httpd/conf.d/8909.conf //添加开8909端口配置
Listen 8909
[root@svr7 ~]# setenforce 1 //开启强制模式
[root@svr7 ~]# systemctl restart httpd //起服务失败
Job for httpd.service failed because the control process exited with error code. See "systemctl status httpd.service" and "journalctl -xe" for details.
- 1
- 2
- 3
- 4
- 5
从日志文件/var/log/messages中检索信息:
[root@svr7 ~]# grep 8909 /var/log/messages