淺析Linux文件（二）日誌文件詳解

日誌的功能

• 用於記錄系統、程序運行中發生的各類事件
• 經過閱讀日誌，有助於診斷和解決系統故障

日誌文件的分類

• 內核及系統日誌：
  由系統服務syslog統一 進行管理，日誌格式基本類似

• 用戶日誌：
  記錄系統用戶登陸及退出系統的相關信息

• 程序日誌：
  由各類應用程序獨立管理的日誌文件，記錄格式不統一

日誌保存位置

默認位於：/var/log目錄下

主要日誌文件介紹

日誌文件類型	日誌文件目錄
內核及公共消息日誌	/var/log/messages
計劃任務日誌	/var/log/cron
系統引導日誌	/var/log/dmesg
郵件系統日誌	/var/log/maillog
用戶登陸日誌	/var/log/lastlog、/var/log/secure、/var/log/wtmp、/var/run/btmp

日誌消息的級別

日誌文件的查看

cat命令：顯示整個文件

經常使用選項：

-n ：                     由 1 開始對全部輸出的行數編號
-b ：                    -n 類似，只不過對於空白行不編號
-s ：                     當遇到有連續兩行以上的空白行，就代換爲一行的空白行

more命令： 以閱讀模式查看日誌（enter向下滾動、space向下翻頁、b向上翻頁，q退出）

---

less命令：跟more命令使用功能差很少，只不過less能夠查看最後一頁，more命令到最後一頁自動退出閱讀模式

---

head命令：從文本文件的頭部開始查看，用於查看一個文本文件的開頭部分

-n：     指定須要顯示多少行

---

tail命令：從文本文件的尾部開始查看，用於顯示文本文件的末尾幾行，一般用來查看新增的日誌信息

-n：                   指定須要顯示多少行    
   -f ：                   自動顯示新增的文件內容

用戶日誌分析

保存了用戶登陸、退出系統等相關信息：

/var/log/lastlog:                     //最近的用戶登陸事件
/var/log/wtmp:                        //用戶登陸、註銷及系統開、關機事件
/var/run/utmp:                        //當前登陸的每一個用戶的詳細信息
/var/log/secure:                     //與用戶驗證相關的安全性事件

分析工具

• users、who、W、last、 lastb

user命令：顯示當前登錄的用戶名稱，每一個顯示用戶名對應一個登錄會話

[root@localhost ~]# users
jiang root root
[root@localhost ~]#

who命令：查看當前正在登陸的用戶

[root@localhost ~]# who
root     :1           2019-08-09 19:58 (:1)
root     pts/1        2019-08-28 19:18 (192.168.52.1)
jiang    :2           2019-08-28 19:32 (:2)
[root@localhost ~]#

w命令：查看當前系統信息和用戶登陸信息

[root@localhost ~]# w
 19:39:20 up  1:19,  4 users,  load average: 0.00, 0.09, 0.13
USER     TTY      FROM             LOGIN@   IDLE   JCPU     WHAT
root     :1       :1               098月19 ?xdm?   1:39   0.09s /usr/libexec/gnome-session-binary --sess
root     pts/1    192.168.52.1     19:18    0.00s  0.08s  0.02s w
jiang    :2       :2               19:32   ?xdm?   1:39   0.10s /usr/libexec/gnome-session-binary --sess
[root@localhost ~]#

last命令：查詢成功登錄到系統的用戶信息，最新狀況顯示在最前面

[root@localhost ~]# last
jiang    :2           :2               Wed Aug 28 19:32   still logged in   
root     pts/1        192.168.52.1     Wed Aug 28 19:18   still logged in   
root     pts/0        :1               Wed Aug 28 19:18 - 19:18  (00:00)    
root     pts/0        :1               Tue Aug 13 16:20 - 16:21  (00:00)    
root     pts/0        :1               Fri Aug  9 20:24 - 20:27  (00:03)    
root     pts/0        :1               Fri Aug  9 20:23 - 20:24  (00:00)    
root     pts/0        :1               Fri Aug  9 20:23 - 20:23  (00:00)    
root     pts/0        :1               Fri Aug  9 20:22 - 20:22  (00:00)    
root     pts/0        :1               Fri Aug  9 20:14 - 20:20  (00:05)    
root     pts/0        :1               Fri Aug  9 20:01 - 20:11  (00:09)    
root     :1           :1               Fri Aug  9 19:58   still logged in   
jiang    :0           :0               Fri Aug  9 19:48 - 19:58  (00:09)    
reboot   system boot  3.10.0-693.el7.x Fri Aug  9 19:32 - 19:41 (19+00:09)  

wtmp begins Fri Aug  9 19:32:34 2019
[root@localhost ~]#

lastb命令：查詢登錄失敗的用戶記錄，如用戶名、密碼錯誤都有記錄，屬於安全事件，也能夠從安全日誌 /var/log/secure 中查詢相關信息

[root@localhost ~]# lastb
jiang    :0           :0               Wed Aug 28 19:59 - 19:59  (00:00)    
jiang    :0           :0               Wed Aug 28 19:59 - 19:59  (00:00)    
jiang    :0           :0               Wed Aug 28 19:59 - 19:59  (00:00)    

btmp begins Wed Aug 28 19:59:19 2019
[root@localhost ~]#

程序日誌分析

由相應的應用程序獨立進行管理

• Web服務: /var/log/httpd/
  access log、 error log
• 代理服務: /var/log/squid/
  access.log、 cache.log、
• FTP服務: /var/log/xferlog

分析工具:

• 文本查看、grep過濾檢索、Webmin管理套件中查看

• awk、sed等文本過濾、格式化編輯工具

• Webalizer、Awstats等專用 日誌分析工具

日誌管理策略

• 及時做好備份和歸檔
• 延長日誌保存期限

• 控制日誌訪問權限
  日誌中可能會包含各種敏感信息，如帳戶、口令等

• 集中管理日誌將服務器的日誌文件發到統一-的日誌文件服務器便於日誌信息的統一-收集、整理和分析杜絕日誌信息的意外丟失、惡意篡改或刪除