Linux 日誌系統及分析

2022-05-27 06:15:18 字數 3038 閱讀 4665

在centos 7.x / rhel 7.x 的版本,系統日誌是由乙個名為 rsyslog的服務管理的,預設的日誌守護程序為 rsyslog , rsyslog 是 syslog 的公升級版本,預設安裝,隨機啟動。

主配置檔案:

/etc/rsyslog.conf
linux系統日誌的重要性無需多言,日誌對管理員來說,是了解系統執行的主要途徑,因此需要對 linux 日誌系統有個詳細的了解。

linux 系統核心和許多程式會產生各種錯誤資訊、告警資訊和其他的提示資訊,這些各種資訊都應該記錄到日誌檔案中,完成這個過程的程式就是 rsyslog,rsyslog 可以根據日誌的類別和優先順序將日誌儲存到不同的檔案中。

常見的日誌型別:

常見的日誌優先順序:

系統日誌一般儲存於 /var/log 目錄下,檢視 rsyslog.conf:

通過檢視 rsyslog.conf 可以總結出部分日誌檔案記錄的資訊。

/var/log/message:記錄linux作業系統常見的系統和服務錯誤資訊

/var/log/boot.log:錄了系統在引導過程中發生的事件,就是linux系統開機自檢過程顯示的資訊

/var/log/lastlog :記錄最後一次使用者成功登陸的時間、登陸ip等資訊(一般通過命令 lastlog 檢視)

/var/log/secure :linux系統安全日誌,記錄使用者和工作組變壞情況、使用者登陸認證情況

/var/log/wtmp:該日誌檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件,使用last命令檢視

/var/log/message記錄了系統日常的一些操作,核心態和使用者態的資訊都有,對於這個檔案,我們日常只需要關注一些錯誤和告警資訊:

[[email protected] ~]#egrep -ri '

error|warn

' /var/log/messages

這裡有必要記錄下最近檢視 messsage 遇到的問題:

檢視 message 時,發現了大量 類似 開啟 session 會話的東西,一看是 root 立刻提高警惕。檢視時間,發現規律:每 10 分鐘執行一次,因此懷疑是 crond 計畫任務,轉而檢視 /var/log/cron 日誌:

檢視後,發現時間剛好能匹配上。分析:

cron 每小時預設每小時執行的任務在 /etc/cron.hourly/ 目錄下

每十分鐘執行的命令: /usr/lib64/sa/sa1 1 1

歸根到底,我們發現原來是 sysstat 包生成的這個計畫任務,每10分鐘就會去執行一次,這個命令是為了收集系統執行資料,以供 sar 命令使用。

該疑問解除,又產生了疑問:

為什麼會產生這樣的 session 日誌?

如果正常登入系統,會怎麼記錄 session

第乙個問題:

經過測試,這種會話的產生是系統執行了乙個 bash指令碼,檢視了乙個新的bash環境。執行完畢就退出了,關鍵字(starting、started)

如下的日誌,表示執行了乙個shell指令碼,starting開啟乙個shell,started的時候結束乙個shell

而真正登入乙個會話,會有乙個 logind 的過程記錄:

因此不要胡亂猜測是誰在不停的掃瞄或者在不停的通過 root 登入。

/var/log/boot.log

該日誌記錄的是系統啟動的過程

可以通過該日誌,檢視某些服務啟動成功或者失敗。

/var/log/lastlog

不用直接檢視該日誌檔案,通過命令:lastlog 檢視:

檢視的某系統使用者最後一次登入的記錄,一些系統使用者從來不登入最後一次就是 **never logged in**

/var/log/secure

主要記錄使用者登入認證。

如果出現大量: authentication failure;   就表示有程式或者人為在嘗試登入。可以通過加強 ssh 或者 iptables 來管控登入次數。

/var/log/btmp

記錄linux登陸失敗的使用者、時間以及遠端ip位址

該檔案是乙個二進位制儲存的檔案,直接使用 lastb 命令檢視。如果該日誌檔案過大,可以清空該檔案。

上圖所有記錄的資訊都是嘗試登入失敗的記錄。

/var/log/wtmp

該日誌檔案永久記錄每個使用者登入、登出及系統的啟動、停機的事件,使用last命令檢視

直接使用 last 命令檢視:

Linux系統日誌檔案系統及效能分析

日誌檔案系統可以在系統發生斷電或者其它系統故障時保證整體資料的完整性,linux是目前支援日誌檔案系統最多的作業系統之一,本文重點研究了linux常用的日誌檔案系統 ext3 reiserfs xfs和jfs日誌技術,並採用標準的測試工具postmark和 bonnie 對它們進行了測試,給出了詳細...

Linux日誌檔案系統及效能分析

日誌檔案系統可以在系統發生斷電或者其它系統故障時保證整體資料的完整性,linux是目前支援日誌檔案系統最多的作業系統之一,本文重點研究了linux常用的日誌檔案系統 ext3 reiserfs xfs和jfs日誌技術,並採用標準的測試工具postmark和 bonnie 對它們進行了測試,給出了詳細...

Linux系統的日誌分析

處理linux系統出現的各種故障時,故障的症狀是最先發現的,而導致這以故障的原因才是最終排除故障的關鍵。熟悉linux系統的日誌管理,了解常見故障的分析與解決辦法,將有助於管理員快速定位故障點,對症下藥 及時解決各種系統問題。一 主要日誌檔案包括以下三種型別 a.核心及系統日誌 這種日誌資料由系統服...