Linux基础—日志分析
- 一、日志的功能
- 1.日志消息的级别
- 2.设备字段说明
- 二、日志文件的分类
- 1.内核及系统日志
- 2.用户日志
- 3.程序日志
- 三、日志文件
- 1.日志文件查看
- 2.主要日志文件介绍
- 3.日志管理策略
一、日志的功能
用于记录系统、程序运行中发生的各种事件
通过阅读日志,有助于诊断和解决系统故障
日志保存位置默认位于:/var/log目录下
1.日志消息的级别
Linux系统内核日志消息的优先级别(数字等级越小,优先级越高,消息越重要)
| 级号 | 消息 | 级别 | 说明 |
|---|---|---|---|
| 0 | EMERG | 紧急 | 会导致主机系统不可用的情况,如系统崩溃 |
| 1 | ALERT | 警告 | 必须马上采取措施解决的问题,如数据库被破坏 |
| 2 | CRIT | 严重 | 比较严重的情况,如硬盘错误,可能会阻碍程序的部分功能 |
| 3 | ERR | 错误 | 运行出现错误,不是非常紧急,尽快修复的 |
| 4 | WARNING | 提醒 | 可能会影响系统功能的事件,不是错误,如磁盘用了85%等 |
| 5 | NOTICE | 注意 | 不会影响系统但值得注意,无需处理 |
| 6 | INFO | 信息 | 一般信息,正常的系经信息 |
| 7 | DEBUG | 调试 | 程序或系统调试信息等,包含详细开发的信息,调试程序时使用 |
| - | none | - | 没有优先级,不记录任何日志消息 |
示例:
| 选项 | 说明 |
|---|---|
| mail.info /var/log/maillog | 比指定级别更高的日志级别,包括指定级别自身,保存到/var/log/maillog中 |
| mail.=info /var/log/maillog | 明确指定日志级别为info,保存至/var/log/maillog |
| mail.!info /var/log/maillog | 除了指定的日志级别(info)所有日志级别信息,保存至/var/log/maillog |
| *.info /var/log/maillog | 所有facility的info级别,保存至/var/log/maillog |
| mail.* /var/log/maillog | mail的所有日志级别信息,都保存至/var/log/maillog |
| mail.notice;news.info /var/log/maillog | mail的notice以上记得日志级别和news的info以上的级别保存至/var/log/maillog |
| mail,news.crit -/var/log/maillog | mail和news的crit以上的日志级别保存/var/log/maillog中;“-”代表异步模式 |
- 日志记录的一般格式
2.设备字段说明
| 选项 | 说明 |
|---|---|
| auth | 用户认证时产生的日志 |
| authpriv | ssh、ftp等登录信息的验证信息 |
| daemon | 一些守护进程产生的日志 |
| ftp | FTP产生的日志 |
| lpr | 打印相关活动 |
| mark | rsyslog服务内部的信息,时间标识 |
| news | 网络新闻传输协议(nntp)产生的消息。 |
| syslog | 系统日志 |
| uucp | Unix-to-Unix Copy 两个unix之间的相关通信 |
| console | 针对系统控制台的消息。 |
| cron | 系统执行定时任务产生的日志。 |
| kern | 系统内核日志 |
| local0~local7 | 自定义程序使用 |
| 邮件日志 | |
| user | 用户进程 |
二、日志文件的分类
1.内核及系统日志
由系统服务rsyslog统一进行管理,日志格式基本相似
主配置文件/etc/rsyslog.conf
主要程序:/sbin/rsyslogd
2.用户日志
- 记录系统用户登录及退出系统的相关信息
| 位置 | 内容介绍 |
|---|---|
| /var/log/lastlog | 最近的用户登录事件 |
| /var/log/wtmp | 用户登录、注销及系统开、关机事件 |
| /var/log/utmp | 当前登录的每个用户的详细信息 |
| /var/log/secure | 与用户验证相关的安全性事件 |
- 分析工具
users 、who、w、last、 lastb
last 命令用于查询成功登录到系统的用户记录
lastb 命今用于查询登录失败的用户记录
3.程序日志
由各种应用程序独立管理的日志文件,记录格式不统一
Web服务: /var/log/httpd/
access_log //记录客户访问事件
error_log //记录错误事件
代理服务: /var/log/squid/
access.log、cache.log
分析工具
文本查看、grep过滤检索、Webmin管理套件中查看
awk、sed等文本过滤、格式化编辑工具
Webalizer、Awstats等专用日志分析工具
三、日志文件
1.日志文件查看
#查看所有日志(默认情况下,只保存本次启动的日志)
journalctl
journalctl -r ##-r表示倒序,从尾部看(推荐),可以看最新的
#查看某个服务的日志
journalctl -u firewalld.service ##查看防火墙的日志
#查看指定进程的日志
journalctl _PID=1
2.主要日志文件介绍
| 日志 | 位置 | 内容介绍 |
|---|---|---|
| 内核及公共消息日志 | /var/log/messages | 记录Linux内核消息及各种应用程序的公共日志信息,包括启动、IO借误、网络借误、程序故等,对于未使用独立日志文件的应用程序或服务,一般都可以从该日志文件中获得相关的事件记录信息。 |
| 计划任务日志 | /var/log/cron | 记录crond计划任务产生的事件信息 |
| 系统引导日志 | /var/log/dmesg | 记录Linux系统在引导过程中的各种事件信息 |
| 邮件系统日志 | /var/log/maillog | 记录进入或发出系统的电子邮件活动 |
| 用户登录日志 | /var/log/lastlog | 记录失败的、错误的登录尝试及验证事件。 |
| 用户登录日志 | /var/log/secure | 记录用户认证相关的安全事件信息 |
| 用户登录日志 | /var/log/wtmp | 记录每个用户登录、注销及系统启动和停机事件 |
| 用户登录日志 | /var/run/btmp | 记录失败的、错误的登录尝试及验证事件。 |
| RPM软件包 | /var/log/rpmpkgs | 记录系统中安装的各rpm包列表信息。 |
3.日志管理策略
- 及时作好备份和归档
- 延长日志保存期限
- 控制日志访问权限
日志中可能会包含各类敏感信息,如账户、口令等 - 集中管理日志
将服务器的日志文件发到统一的日志文件服务器
便于日志信息的统一收集、整理和分析
杜绝日志信息的意外丢失、恶意篡改或删除
