有關linux日志分析的詳細介紹

有關linux日志分析的詳細介紹 1.了解日志文件 linux的日志文件可以說是最有用的了，日志文件可以讓我們了解系統所處的狀態，比如能查出哪些用戶有登入，這也涉及相關的安全問題。如果我們不懂得分析日志，可能我們都不知道有些用戶曾經登入過我們的系統。另外系統出了什麼問題，我們也要查看系統日志，比如我們經常會進入不了Xwindows，我們要查看系統日志類似XFree86.0.log等文件，再來詳細的說一下，如果我們運行過系統顯示屬性方面的設置[理論上應該叫XFree86.setup]，我以Redhat 8.0來說一下這個問題，當我們在終端或者虛擬控制台下運行redhat-config-xfree86時，我們就能在etc/var 目錄下發現一個XFree86.setup.log，這個文件記錄著我們曾經設置過的內容以及詳細的情況。 2.日志文件所處的位置 日志文件所處的位置都在/var/log目錄下，前提是您沒有對日志配置文件/etc/syslog.conf進行過特別的配制。 3.日志文件的配置文件 日志文件的配制文件，在/etc/syslog.conf，如果我們要修改日志配制文件，我們要首先要備份。這一點，是我們進行系統管理的首要任務。 下面的命令是備份，我是以root權限操作的，使用root權限要小心，切記。 [root@linuxsir01 root]# cp /etc/syslog.conf /etc/syslog.confBAK 當我們把/etc/syslog.conf配制錯了，但我們還記不清楚原來的系統文件是什麼樣的了。這時備份文件就有極大的作用了，我們就還原回去就OK了。我們還可以再來改動這個文件。 [root@linuxsir01 root]# cp /etc/syslog.confBAK /etc/syslog.conf 4.日志配制文件都有些什麼？請看！我們可以用下面的命令來查看，比如more /etc/syslog.conf [root@linuxsir01 root]# more /etc/syslog.conf # Log all kernel messages to the console. # Logging much else clutters up the screen. #kern.* /dev/console # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;news.none;authpriv.none;cron.none /var/log/message s # The authpriv file has restricted access. authpriv.* /var/log/secure 安全驗證日志，系統生成的日志文件是放在了/var/log/secure # Log all the mail messages in one place. mail.* /var/log/maillog這個是電子郵件系統的功能，這個日志文件是在/var/log/maillog目錄下。 # Log cron stuff cron.* /var/log/cron[COLOR=blue]這個是計時信息 # Everybody gets emergency messages *.emerg * 這是syslog對日志所設置的級別,emerg表示系統已經不可用 # Save news errors of level crit and higher in a special file. uucp,news.crit /var/log/spooler這是syslog對news和uucp的日志所設置的級別,crit表示危急，但事故還沒有發生，將要發生。 # Save boot messages also to boot.log local7.* /var/log/boot.log 開機系統日志，用local7來表示，日志文件的位置處在/var/log，日志文件是boot.log # # INN # news.=crit /var/log/news/news.crit news.=err /var/log/news/news.err news.notice /var/log/news/news.notice 5]日志類型 authpriv 安全性/驗證的信息，通過這個，我們可以查看比如telnet和ssh之類登入系統方面的日志。這對於防黑有重要作用，不可小視。 cron 任務調度信息，有點象windows中的計劃任務，我們可以通過這個程序在什麼時間做什麼事。他的配制文件在 /etc/crontab中，在這裡我們是說它的日志文件的配制 kern 這是系統內核的日志，這個要我們自己定義存放位置，我們可以在/etc/syslog.conf中自己來定義存放位置。比如，我們可以在syslog.conf中加一行，比如是這樣的 ker.debug /var/log/kern.log local0-local7 自定義級別，開機系統日志，用local7來表示，日志文件的位置處在/var/log，日志文件是boot.log lpr 看名字也應該知道，這是打印的日志文件，這個我們也一樣可以自己來定義。在下面，我們再逐步深入說一下如何寫系統日志 mail 是電子郵件的，sendmail,qmail等信息 news 是新聞組服務器的。 user 一般和戶信息 syslog 內部log信息 auth 也是用戶登入的信息，安全性和驗證性的日志 uucp 全稱是UNIX-TO-UNIX COPY PROTOCOL的信息 6]日志級別，日志系統管理員來維護系統的，系統日志的內容太多，所以就有必要把日志按級別來排序，這樣能方便管理員發現比較緊急和重要的問題，以著手處理和解決。 這裡有一個主次順序，也就是重要的都放在前面，級別是由高而低的。 emerg 系統已經不可用，級別為緊急 alert 警報，需要立即處理和解決 crit 既將發生，得需要預防。事件就要發生 warnig 警告。 err 錯誤信息，普通的錯誤信息 notice 提醒信息，很重要的信息 info 通知信息，屬於一般信息 debug 這是調試類信息 * 記錄所有的信息，並發到所給所有的用戶 了解了linux日志的存儲、類型等內容後，大家最感興趣的莫過於如何分析linux日志了。 此時，我們需要掌握一些 linux 日志分析命令 ，然後用這些命令或腳本對日志進行詳細分析。 7]日志設置或者語法格式的書寫 在/etc/syslog.conf中，根據我們自己的情況，可以配制或者定義日志文件。語法格式如下，也比較簡單。。 日志類型.等級 日志存放位置[要用絕對路徑] 舉個例子來說 kern.debug /var/log/kern.log 進一步詳細解說：[注：以RedHat 8.0為例]在RedHat 8.0中，我們能看到如下的一行。這代表什麼意思呢。 authpriv.* /var/log/secure 這個代表的意思是：所有驗證類級別的日志都存放在secure這個日志文件裡。有時，我們也會在/var/log目錄裡，看到secure1之類的，其實也是這類的日志，我們要靈活一下。是不是？ 通過這個文件，我們可以看到驗證類的日志，比如telnet和ssh等。如果別人用telnet我們的機器，我們就要查看這個文件了。我們可以通過 #more secure | grep telnet來看，當然用more也能一頁一頁的看過去，我的目的僅僅是想知道是不是這個文件能看到這方面的東西，比如我用機其它器telnet，我的 linux的主機，就有從下面得到記錄。是不是一清二楚了？ Dec 15 15:22:59 linuxsir01 xinetd[809]: START: telnet pid=2535 from=192.168.0.6 Dec 17 01:06:42 linuxsir01 xinetd[810]: START: telnet pid=26581 from=192.168.0.6 Dec 17 17:59:05 linuxsir01 xinetd[810]: START: telnet pid=4152 from=192.168.0.8 Dec 18 02:52:59 linuxsir01 xinetd[810]: START: telnet pid=9520 from=192.168.0.6 Dec 18 03:15:55 linuxsir01 xinetd[810]: START: telnet pid=9910 from=192.168.0.6