- 2.13.1日志概述
- 2.13.2日志分析
一、日志的功能
1.系统和程序的“日记本”
-记录系统、程序运行中发生的各种事件
-通过查看日志,了解及排除故障
-信息安全控制的“依据”
二、内核及系统日志
1.由系统服务rsyslog统记录/管理
-日志消息采用文本格式
-主要记录事件发生的时间、主机、进程、内容
-rsyslog服务默认开机自动启动
[root@srv7 ~]# tail /var/log/messages #查看系统日志信息 Sep 27 06:41:59 srv7 yum[2790]: Installed: ncurses-libs-5.9-14.20130511.el7_4.i686 Sep 27 06:41:59 srv7 yum[2790]: Installed: cmatrix-1.2a-1.i386 Sep 27 06:41:59:时间 srv7:主机名 yum[2790]:进程 Installed: cmatrix-1.2a-1.i386:发生的事件
2.查看日志文件
三、用户日志
1.由登录程序负责记录/管理
-日志消息采用二进制格式
-记录登录用户的时间,来源,执行的命令等信息
一、查看文本日志消息
1.通过分析工具
-tail、tailf、less、grep 等文本浏览/检索命令
-awk、sed等格式化过滤工具
说明:
tailf:实时跟踪日志消息,直接打印到屏幕上去
2.专业分析工具
-Webmin系统管理套件
-Webalizer、AWStats等日志统计套件
二、用户登录分析
1.users、who、w命令
-查看已登录的用户信息,详细度不同
[root@srv7 ~]# users root [root@srv7 ~]# who root pts/0 2021-09-27 05:40 (192.168.4.1) pts:代表图形命令行终端 [root@srv7 ~]# w 07:54:08 up 2:21, 1 user, load average: 0.00, 0.01, 0.05 USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT root pts/0 192.168.4.1 05:40 0.00s 0.38s 0.02s w
2.last、lastb命令
-查看最近登录成功/失败的用户信息
[root@pc207 ~]# last -2 #查看最近登录成功的用户2条 [root@pc207 ~]# lastb -2 #查看最近登录失败的用户2条
三、日志消息优先级
1.Linux内核定义事件紧急程度
-分为0~7共8个优先级
-其数值越小,表示对应事件越紧急/重要
[root@pc207 ~]# man 2 syslog #define KERN_EMERG "<0>" #define KERN_alert "<1>" #define KERN_CRIT "<2>" #define KERN_ERR "<3>" #define KERN_WARNING "<4>" #define KERN_NOTICE "<5>" #define KERN_INFO "<6>" #define KERN_DEBUG "<7>"
四、使用journalctl工具
1.提取由systemd-journal服务搜集的日志
-主要包括内核/系统日志、服务日志
2.常见用法
-journalctl |grep 关键词
-journalctl -u 服务名 [-p 优先级]
-journalctl -n 消息条数
