Linux常用命令(十二)日志文件分析

? ? ? ? ? ? ? ? ? ? ? ? Linux常用命令(十二)日志文件分析

日志文件是用于记录Linux系统中各种运行消息的文件,相当于Linux主机的“日记”。不同的日志文件记载了不同类型的信息,如Linux内核消息、用户登录事件、程序错误等。

一、主要日志文件

????

? ? ? 在Linux系统中,日志数据主要包括以下三种类型。

内核及系统日志: 这种日志数据由系统服务rslslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中有相当一部分程序会把自己的日志文件交由rsyslog管理,因而 ? ? ? ? ? ? ? ? ? ? ? ? ? ? ?这些程序使用的日志记录也具有相似的格式。

用户日志:这种日志数据用于记录Linux系统用户登录及退出系统的相关信息,包括用户名、登录的终端、登录时间、来源主机、正在使用的进程操作等。

程序日志:有些应用程序会选择由自己独立管理一份日志文件(而不是交给rsyslog服务管理),用于记录本程序运行过程中的各种事件信息。由于这些程序只负责管理自己的日志文件,因此不同程序所使用的日志记录格式可能会存在 ? ? ? ? ? ? ? ? ? ? 较大的差异。

? ??

? ? Linux系统本身和大部分服务器程序的日志文件默认都放在目录/var/log/下。一部分程序共用一个日志文件,一部分程序使用单个日志文件,而有些大型服务器程序由于日志文件不止一个,所以会在/var/log/目录中建立相应的子目录来存放日志文件,这样既保证了日志文件目录的结构清晰,又可以快速定位日志文件。有相当一部分日志文件只有root用户才有权限读取,这保证了相关日志信息的安全性。

对于Linux系统中的日志文件,有必要了解其各自的用途,这样才能在需要的时候更快地找到问题所在,及时解决各种故障。下面介绍常见的一些日志文件。

■?/var/log/messages:记录Linux内核消息及各种应用程序的公共日志信息,包括启动、1/0错误、网络错误、程序故障等。对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。

■ /var/log/cron:记录crond计划任务产生的事件信息。

■ /var/log/dmesg:记录Linux系统在引导过程中的各种事件信息。

/var/log/maillog:记录进入或发出系统的电子邮件活动。

■ /var/log/lastlog:记录每个用户最近的登录事件。

■ /var/log/secure:记录用户认证相关的安全事件信息。

■ /var/log/wtmp:记录每个用户登录、注销及系统启动和停机事件。

■ /var/log/btmp:记录失败的、错误的登录尝试及验证事件。

二、日志文件分析

熟悉了系统中的主要日志文件以后,下面将介绍针对日志文件的分析方法。

1、内核及系统日志

内核及系统日志功能主要有默认安装的rsyslog-5.8.10-8.el6.x86_64软件包提供。rsyslog服务所使用的配置文件为/etc/rsyslog.conf。通过查看/etc/rsyslog.conf文件中的内容,可以了解到系统默认的日志设置。

[[email protected]?~]#?grep?-v?"^$"?/etc/rsyslog.conf????????//过滤掉空行

从配置文件/etc/rsyslog.conf中可以看到,受rsyslogd服务管理的日志文件都是Linux系统中最主要的日志文件,它们记录了Linux系统中内核、用户认证、邮件、计划任务等最基本的系统消息。在Linux内核中,根据日志消息的重要程度不同,将其分为不同的优先级别(数字等级越小,优先级越高,消息越重要)。

■ 0 EMERG(紧急):会导致主机系统不可用的情况。

■ 1 ALERT(警告):必须马上采取措施解决的问题。

■ 2 CRIT(严重):比较严重的情况。

■ 3 ERR(错误):运行出现错误。

■ 4 WARNING(提醒):可能影响系统功能,需要提醒用户的重要事件。

■ 5 NOTICE(注意):不会影响正常功能,但是需要注意的事件。

■ 6 INFO(信息):一般信息。

■ 7 DEBUG(调试):程序或系统调试信息等。

???

内核及大多数系统消息都被记录到公共日志文件/var/log/messages中,而其他一些程序消息被记录到各自独立的日志文件中,此外日志消息还能够记录到特定的存储设备中,或者直接发送给指定用户。

[[email protected]?~]#?more?/var/log/messages

对于rsyslog服务统一管理的大部分日志文件,使用的日志记录格式基本上都是相同的。以公共日志/var/log/messages文件的记录格式为例,其中每一行表示一条日志消息,每一条消息均包括以下四个字段。

■ 时间标签:消息发出的日期和时间。

■ 主机名:生成消息的计算机的名称。

■ 子系统名称: 发出消息的应用程序的名称。

■ 消息:消息的具体内容。

??? 在有些情况下,可以设置rsyslog,使其在把日志信息记录到文件的同时将日志信息发送到打印机进行打印,这样可以防止网络入侵者清除入侵痕迹。

2.用户日志

在wtmp、btmp、lastlog等日志文件中,保存了系统用户登录、退出等相关的事件消息。但是这些文件都是二进制的数据文件,不能直接使用tail、less等文本查看工具进行浏览,需要使用who、w、users、last和lastb等用户查询命令来获取日志信息。


1)、查询当前登录的用户情况—userswhow命令

users命令只是简单地输出当前登录的用户名称,每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话,那他的用户名将显示与其相同的次数。?

[[email protected]?~]#?users
root?root?????????????????????//root用户打开两个终端

who命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。who的默认输出包括用户名、终端类型、登录日期及远程主机。

?

[[email protected]?~]#?who
root?????tty2?????????2017-12-10?05:27
root?????pts/0????????2017-12-10?05:30?(192.168.1.123)

? w命令用于显示当前系统中的每个用户及其所运行的进程信息,比users、who命令的输出内容要更加丰富一些。

[[email protected]?~]#?w
?06:09:33?up?43?min,??2?users,??load?average:?0.00,?0.00,?0.00
[email protected]???IDLE???JCPU???PCPU?WHAT
root?????tty2?????-????????????????05:27???40:06???0.06s??0.06s?-bash
root?????pts/0????192.168.1.123????05:30????0.00s??0.13s??0.09s?w

?

2)、查询用户登录的历史记录

?? last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last命令可以及时掌握Linux主机的登录情况,若发现未经授权的用户登录过,表示当前主机可能已被入侵。

[[email protected]?~]#?last
root?????pts/0????????192.168.1.123????Sun?Dec?10?05:30???still?logged?in???
root?????tty2??????????????????????????Sun?Dec?10?05:27???still?logged?in???
reboot???system?boot??2.6.32-431.el6.x?Sun?Dec?10?05:26?-?06:15??(00:49)????
root?????pts/1????????:0.0?????????????Fri?Aug?25?18:28?-?down???(00:13)????
root?????pts/0????????:0.0?????????????Fri?Aug?25?18:13?-?down???(00:29)????
root?????tty1?????????:0???????????????Fri?Aug?25?18:12?-?down???(00:29)????
reboot???system?boot??2.6.32-431.el6.x?Fri?Aug?25?18:11?-?18:42??(00:31)????
。。。。。。//省略部分内容

lastb命令用于查询登录失败的用户记录,如登录的用户名错误、密码不正确等情况都将记录在案。用于登录失败的情况属于安全事件,因为这表示可能有人在尝试猜解你的密码。除了使用lastb命令查看以外,也可以直接从安全日志文件/var/log/secure中获得相关信息。

[[email protected]?~]#?lastb
root?????tty1?????????:0???????????????Fri?Aug?25?18:12?-?18:12??(00:00)????
(unknown?tty1?????????:0???????????????Thu?Aug?24?04:29?-?04:29??(00:00)????
?
btmp?begins?Thu?Aug?24?04:29:28?2017

[[email protected]?~]#?tail?/var/log/secure?
Aug?25?18:12:56?twgdh?polkitd(authority=local):?Registered?Authentication?Agent?for?session?/org/freedesktop/ConsoleKit/Session2?(system?bus?name?:1.43?[/usr/libexec/polkit-gnome-authentication-agent-1],?object?path?/org/gnome/PolicyKit1/AuthenticationAgent,?locale?zh_CN.UTF-8)
……//省略部分内容

3、程序日志

在Linux系统中,还有相当一部分应用程序并没有使用rsyslog服务来管理日志,而是由程序自己维护日志记录。

例如,httpd网站服务程序使用两个日志文件access_log和error_log,分别记录客户访问事件、错误事件。不同的应用程序的日志记录格式差别较大,并没有严格使用统一格式。

一名合格的系统管理人员,应该提高警惕,随时注意各种可疑状况,定期并随机地检查各种系统日志文件。出现以下一些现象就应多加注意。

■ 用户在非常规的时间登陆,或者用户登录系统的ip地址和以往不一样。

■ 用户登录失败的日志记录,尤其是哪些一再连续尝试进入失败的日志记录。

■ 非法使用或不正当使用超级用户权限。

■ 无故或者非法重新启动各项网络服务的记录。

■ 不正常的日志记录,如日志残缺不全,或者是诸如wtmp这样的日志文件无故缺少了中间的记录文件。

??? 另外,尤其提醒管理人员需要注意的是,日志并不是完全可靠的,高明的何可在入侵系统后,经常会打扫现场。

时间: 2024-10-08 20:04:21

Linux常用命令(十二)日志文件分析的相关文章

Linux常用命令(十二) - less

less 工具也是对文件或其它输出进行分页显示的工具,应该说是linux正统查看文件内容的工具,功能极其强大.less 的用法比起 more 更加的有弹性.使用了 less 时,更容易用来查看一个文件的内容!除此之外,在 less 里头可以拥有更多的搜索功能,不止可以向下搜,也可以向上搜. 1.命令格式: less [参数]  文件 2.命令功能: less 与 more 类似,但使用 less 可以随意浏览文件,而 more 仅能向前移动,却不能向后移动,而且 less 在查看之前不会加载整个

三十、Linux常用命令(二)

系统信息 arch 显示机器的处理器架构(1) uname -m 显示机器的处理器架构(2) uname -r 显示正在使用的内核版本 dmidecode -q 显示硬件系统部件 - (SMBIOS / DMI) hdparm -i /dev/hda 罗列一个磁盘的架构特性 hdparm -tT /dev/sda 在磁盘上执行测试性读取操作 cat /proc/cpuinfo 显示CPU info的信息 cat /proc/interrupts 显示中断 cat /proc/meminfo 校验

linux常用命令 、查看日志、web排查

linux常用命令 ps aux|grep xxx (比如 ps aux|grep tomcat ps aux|grep tomcat-portalvip ps aux|grep nginx 等) rpm -qa|grep xxx (查找系统有没有安装 比如 rpm -qa|grep mysql rpm -qa|grep MySQL rpm -qa|grep jdk 等) 强制卸载 rpm -e 上一步查找结果的内容 --nodeps 查看端口是否被占用 netstat -an|grep 端口

Linux常用命令(二)

1.wget命令网络应用 wget命令用来从指定的URL下载文件.wget非常稳定,它在带宽很窄的情况下和不稳定网络中有很强的适应性,如果是由于网络的原因下载失败,wget会不断的尝试,直到整个文件下载完毕.如果是服务器打断下载过程,它会再次联到服务器上从停止的地方继续下载.这对从那些限定了链接时间的服务器上下载大文件非常有用. 语法 wget(选项)(参数) 选项 -a<日志文件>:在指定的日志文件中记录资料的执行过程: -A<后缀名>:指定要下载文件的后缀名,多个后缀名之间使用

LINUX常用命令(二)目录和文件管理

一.Linux命令基础 1.命令分类 ■内部命令:继承与Shell解释器程序内部的一些特殊指令,也称为內建指令.没有单独对应的系统文件,只要Shell解释器被运行,内部指令就自动载入内存了.内部命令无需从硬盘中重新读取文件,因此执行效率更高. ■外部命令:指的是linux系统中能够完成特定功能的脚本文件或二进制程序,每个命令对应了系统中的一个文件,是属于Shell解释器程序之外的命令,所以成为外部命令.Linux系统必须知道外部命令对应的文件位置,才能够由Shell加载并执行. 2.命令的通用格

Linux常用命令(十八) - find概述

Linux下find命令在目录结构中搜索文件,并执行指定的操作.Linux下find命令提供了相当多的查找条件,功能很强大.由于find具有强大的功能,所以它的选项也很多,其中大部分选项都值得我们花时间来了解一下.即使系统中含有网络文件系统( NFS),find命令在该文件系统中同样有效,只要你具有相应的权限. 在运行一个非常消耗资源的find命令时,很多人都倾向于把它放在后台执行,因为遍历一个大的文件系统可能会花费很长的时间(这里是指30G字节以上的文件系统). 1.命令格式: find pa

Linux常用命令(十九) - find之exec

find是我们很常用的一个Linux命令,但是我们一般查找出来的并不仅仅是看看而已,还会有进一步的操作,这个时候exec的作用就显现出来了. exec解释: -exec  参数后面跟的是command命令,它的终止是以;为结束标志的,所以这句命令后面的分号是不可缺少的,考虑到各个系统中分号会有不同的意义,所以前面加反斜杠. {}   花括号代表前面find查找出来的文件名. 使用find时,只要把想要的操作写在一个文件里,就可以用exec来配合find查找,很方便的.在有些操作系统中只允许-ex

Java 开发应掌握的Linux常用命令(二)

1.查找文件find / -name filename.txt根据名称查找/目录下的filename.txt文件.2.查看一个程序是否运行ps –ef|grep tomcat查看所有有关tomcat的进程3.终止线程kill -9 19979终止线程号位19979的线程4.查看文件,包含隐藏文件ls -al5.当前工作目录pwd6.复制文件包括其子文件到自定目录cp -r sourceFolder targetFolder7.创建目录mkdir newfolder8.删除目录(此目录是空目录)r

Linux常用命令(十) - nl

nl命令在linux系统中用来计算文件中行号.nl 可以将输出的文件内容自动的加上行号!其默认的结果与 cat -n 有点不太一样, nl 可以将行号做比较多的显示设计,包括位数与是否自动补齐 0 等等的功能. 1.命令格式: nl [选项]... [文件]... 2.命令参数: -b  :指定行号指定的方式,主要有两种: -b a :表示不论是否为空行,也同样列出行号(类似 cat -n): -b t :如果有空行,空的那一行不要列出行号(默认值): -n  :列出行号表示的方法,主要有三种:

Linux常用命令(十五) - which

我们经常在linux要查找某个文件,但不知道放在哪里了,可以使用下面的一些命令来搜索: which  查看可执行文件的位置. whereis 查看文件的位置. locate   配合数据库查看文件位置. find   实际搜寻硬盘查询文件名称. 1.命令格式: which 可执行文件名称 2.命令功能: which命令的作用:在PATH变量指定的路径中,搜索某个系统命令的位置,并且返回第一个搜索结果.也就是说,使用which命令,就可以看到某个系统命令是否存在,以及执行的到底是哪一个位置的命令.