歡迎來到Linux教程網
Linux教程網
Linux教程網
Linux教程網
您现在的位置: Linux教程網 >> UnixLinux >  >> Linux基礎 >> 關於Linux

有關linux日志分析的詳細介紹

有關linux日志分析的詳細介紹   1.了解日志文件 linux的日志文件可以說是最有用的了,日志文件可以讓我們了解系統所處的狀態,比如能查出哪些用戶有登入,這也涉及相關的安全問題。如果我們不懂得分析日志,可能我們都不知道有些用戶曾經登入過我們的系統。另外系統出了什麼問題,我們也要查看系統日志,比如我們經常會進入不了Xwindows,我們要查看系統日志類似XFree86.0.log等文件,再來詳細的說一下,如果我們運行過系統顯示屬性方面的設置[理論上應該叫XFree86.setup],我以Redhat 8.0來說一下這個問題,當我們在終端或者虛擬控制台下運行redhat-config-xfree86時,我們就能在etc/var 目錄下發現一個XFree86.setup.log,這個文件記錄著我們曾經設置過的內容以及詳細的情況。   2.日志文件所處的位置 日志文件所處的位置都在/var/log目錄下,前提是您沒有對日志配置文件/etc/syslog.conf進行過特別的配制。   3.日志文件的配置文件 日志文件的配制文件,在/etc/syslog.conf,如果我們要修改日志配制文件,我們要首先要備份。這一點,是我們進行系統管理的首要任務。 下面的命令是備份,我是以root權限操作的,使用root權限要小心,切記。 [root@linuxsir01 root]# cp /etc/syslog.conf /etc/syslog.confBAK 當我們把/etc/syslog.conf配制錯了,但我們還記不清楚原來的系統文件是什麼樣的了。這時備份文件就有極大的作用了,我們就還原回去就OK了。我們還可以再來改動這個文件。 [root@linuxsir01 root]# cp /etc/syslog.confBAK /etc/syslog.conf   4.日志配制文件都有些什麼?請看!我們可以用下面的命令來查看,比如more /etc/syslog.conf [root@linuxsir01 root]# more /etc/syslog.conf # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;news.none;authpriv.none;cron.none /var/log/message s # The authpriv file has restricted access. authpriv.* /var/log/secure 安全驗證日志,系統生成的日志文件是放在了/var/log/secure # Log all the mail messages in one place. mail.* /var/log/maillog這個是電子郵件系統的功能,這個日志文件是在/var/log/maillog目錄下。 # Log cron stuff cron.* /var/log/cron[COLOR=blue]這個是計時信息 # Everybody gets emergency messages *.emerg * 這是syslog對日志所設置的級別,emerg表示系統已經不可用 # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler這是syslog對news和uucp的日志所設置的級別,crit表示危急,但事故還沒有發生,將要發生。 # Save boot messages also to boot.log local7.* /var/log/boot.log 開機系統日志,用local7來表示,日志文件的位置處在/var/log,日志文件是boot.log # # INN # news.=crit /var/log/news/news.crit news.=err /var/log/news/news.err news.notice /var/log/news/news.notice   5]日志類型 authpriv 安全性/驗證的信息,通過這個,我們可以查看比如telnet和ssh之類登入系統方面的日志。這對於防黑有重要作用,不可小視。 cron 任務調度信息,有點象windows中的計劃任務,我們可以通過這個程序在什麼時間做什麼事。他的配制文件在 /etc/crontab中,在這裡我們是說它的日志文件的配制 kern 這是系統內核的日志,這個要我們自己定義存放位置,我們可以在/etc/syslog.conf中自己來定義存放位置。比如,我們可以在syslog.conf中加一行,比如是這樣的 ker.debug /var/log/kern.log local0-local7 自定義級別,開機系統日志,用local7來表示,日志文件的位置處在/var/log,日志文件是boot.log lpr 看名字也應該知道,這是打印的日志文件,這個我們也一樣可以自己來定義。在下面,我們再逐步深入說一下如何寫系統日志 mail 是電子郵件的,sendmail,qmail等信息 news 是新聞組服務器的。 user 一般和戶信息 syslog 內部log信息 auth 也是用戶登入的信息,安全性和驗證性的日志 uucp 全稱是UNIX-TO-UNIX COPY PROTOCOL的信息   6]日志級別,日志系統管理員來維護系統的,系統日志的內容太多,所以就有必要把日志按級別來排序,這樣能方便管理員發現比較緊急和重要的問題,以著手處理和解決。 這裡有一個主次順序,也就是重要的都放在前面,級別是由高而低的。 emerg 系統已經不可用,級別為緊急 alert 警報,需要立即處理和解決 crit 既將發生,得需要預防。事件就要發生 warnig 警告。 err 錯誤信息,普通的錯誤信息 notice 提醒信息,很重要的信息 info 通知信息,屬於一般信息 debug 這是調試類信息 * 記錄所有的信息,並發到所給所有的用戶   了解了linux日志的存儲、類型等內容後,大家最感興趣的莫過於如何分析linux日志了。 此時,我們需要掌握一些 linux 日志分析命令 ,然後用這些命令或腳本對日志進行詳細分析。     7]日志設置或者語法格式的書寫 在/etc/syslog.conf中,根據我們自己的情況,可以配制或者定義日志文件。語法格式如下,也比較簡單。。 日志類型.等級 日志存放位置[要用絕對路徑] 舉個例子來說 kern.debug /var/log/kern.log 進一步詳細解說:[注:以RedHat 8.0為例]在RedHat 8.0中,我們能看到如下的一行。這代表什麼意思呢。 authpriv.* /var/log/secure 這個代表的意思是:所有驗證類級別的日志都存放在secure這個日志文件裡。有時,我們也會在/var/log目錄裡,看到secure1之類的,其實也是這類的日志,我們要靈活一下。是不是?   通過這個文件,我們可以看到驗證類的日志,比如telnet和ssh等。如果別人用telnet我們的機器,我們就要查看這個文件了。我們可以通過 #more secure | grep telnet來看,當然用more也能一頁一頁的看過去,我的目的僅僅是想知道是不是這個文件能看到這方面的東西,比如我用機其它器telnet,我的 linux的主機,就有從下面得到記錄。是不是一清二楚了? Dec 15 15:22:59 linuxsir01 xinetd[809]: START: telnet pid=2535 from=192.168.0.6 Dec 17 01:06:42 linuxsir01 xinetd[810]: START: telnet pid=26581 from=192.168.0.6 Dec 17 17:59:05 linuxsir01 xinetd[810]: START: telnet pid=4152 from=192.168.0.8 Dec 18 02:52:59 linuxsir01 xinetd[810]: START: telnet pid=9520 from=192.168.0.6 Dec 18 03:15:55 linuxsir01 xinetd[810]: START: telnet pid=9910 from=192.168.0.6
Copyright © Linux教程網 All Rights Reserved