Heim > System-Tutorial > LINUX > Beherrschen Sie die Fähigkeiten der Linux-Protokollanalyse: umfassendes Lernen vom Format bis zur Analyse

Beherrschen Sie die Fähigkeiten der Linux-Protokollanalyse: umfassendes Lernen vom Format bis zur Analyse

PHPz
Freigeben: 2024-02-13 22:40:19
nach vorne
368 Leute haben es durchsucht

掌握 Linux 日志分析技巧:从格式到分析全面学习

Die Protokolldateien im Linux-System enthalten den Systembetriebsstatus und die Betriebsinformationen verschiedener Anwendungen. Sie sind für die Systemdiagnose und Fehlerbehebung von entscheidender Bedeutung. Daher ist das Erlernen des Lesens und Analysierens von Linux-Protokolldateien eine Fähigkeit, die jeder Linux-Benutzer beherrschen muss. Dieser Artikel führt Sie in die Typen, Formate und gängigen Lesemethoden von Linux-Protokolldateien ein und hilft Ihnen, Systemprobleme leicht zu verstehen und zu lösen.

Drei Arten von Protokollen#

  • Kernel- und Systemprotokolle:

Diese Protokolldaten werden von Systemdiensten verwaltetrsyslog统一管理,根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中有相当一部分程序会把自己的日志文件交由rsyslog, daher haben auch die von diesen Programmen verwendeten Protokolldatensätze ein ähnliches Format.

  • Benutzerprotokoll:

Diese Art von Protokolldaten wird verwendet, um LinuxInformationen im Zusammenhang mit der An- und Abmeldung von Betriebssystembenutzern beim System aufzuzeichnen, einschließlich Benutzername, angemeldetes Terminal, Anmeldezeit, Quellhost, verwendete Prozessvorgänge usw.

  • Programmprotokoll:

Einige Anwendungen entscheiden sich dafür, eine Protokolldatei unabhängig zu verwalten (anstatt sie an die rsyslogDienstverwaltung zu übergeben), um verschiedene Ereignisinformationen während der Ausführung des Programms aufzuzeichnen. Da diese Programme nur für die Verwaltung ihrer eigenen Protokolldateien verantwortlich sind, können die von verschiedenen Programmen verwendeten Protokollierungsformate stark variieren.

Gemeinsame Protokolldateien#

Pfad Anleitung
/var/log/messages Linux-Kernel-Meldungen und öffentliche Protokollinformationen verschiedener Anwendungen aufzeichnen
/var/log/cron Zeichnen Sie Ereignisinformationen auf, die durch geplante Crond-Aufgaben generiert werden
/var/log/dmesg Zeichnen Sie während des Bootvorgangs verschiedene Ereignisinformationen des Linux-Betriebssystems auf
/var/log/maillog Protokollieren Sie E-Mail-Aktivitäten, die in das System ein- oder ausgehen
/var/log/lastlog Zeichnen Sie die letzten Anmeldeereignisse für jeden Benutzer auf
/var/log/secure Erfassen Sie Sicherheitsereignisinformationen im Zusammenhang mit der Benutzerauthentifizierung
/var/log/wtmp Zeichnen Sie die Anmelde-, Abmelde- und Systemstart- und -abschaltereignisse jedes Benutzers auf
/var/log/btmp Aufzeichnung fehlgeschlagen, falsche Anmeldeversuche und Verifizierungsereignisse

Prioritätsstufe der Protokolle#

Je kleiner die Nummernstufe, desto höher die Priorität und desto wichtiger die Nachricht.

Level Englische Wörter Chinesische Definition Anleitung
0 EMERG Notfall Wird dazu führen, dass das Hostsystem nicht verfügbar ist
1 ALARM WARNUNG Probleme, die sofort gelöst werden müssen
2 KRIT Ernsthaft Eine ernstere Situation
3 ERR Fehler Beim Ausführen ist ein Fehler aufgetreten
4 WARNUNG Erinnerung Wichtige Ereignisse, die sich auf Systemfunktionen auswirken können und an die Benutzer erinnert werden müssen
5 HINWEIS Achtung Es hat keinen Einfluss auf die normalen Funktionen, aber es handelt sich um ein Ereignis, das Aufmerksamkeit erfordert
6 INFO Informationen Allgemeine Informationen
7 DEBUG Debuggen Programm- oder System-Debugging-Informationen usw.

Benutzerprotokollbezogene Befehle#

users#

  • Der Befehl users gibt einfach die Namen der aktuell angemeldeten Benutzer aus, wobei jeder angezeigte Benutzername einer Anmeldesitzung entspricht. Wenn ein Benutzer mehr als eine Anmeldesitzung hat, wird sein Benutzername gleich oft angezeigt.
[root@localhost ~]# users
root
Nach dem Login kopieren

wer#

  • who命令用于报告当前登录到系统中的每个用户的信息。使用该命令,系统管理员可以查看当前系统存在哪些不合法用户,从而对其进行审计和处理。whoDie Standardausgabe umfasst Benutzername, Terminaltyp, Anmeldedatum und Remote-Host.
[root@localhost ~]# who
root     pts/0        2019-09-06 23:56 (192.168.28.1)
Nach dem Login kopieren

w#

  • w< Der Befehl /code> wird verwendet, um Informationen über jeden Benutzer im aktuellen System und die von ihm ausgeführten Prozesse anzuzeigen, z. B. <code style="font-size: 14px;padding: 2px 4px;border-radius: 4px;margin: 0 2px;font-family: Operator Mono, Consolas, Monaco, Menlo, monospace;color: #10f5d6c">w命令用于显示当前系统中的每个用户及其所运行的进程信息,比userswho, who Befehlsausgabeinhalte sind umfangreicher.
 23:57:33 up 4 min,  1 user,  load average: 0.02, 0.18, 0.11
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    192.168.28.1     23:56    5.00s  0.11s  0.02s w
Nach dem Login kopieren

last#

  • last命令用于查询成功登录到系统的用户记录,最近的登录情况将显示在最前面。通过last命令可以及时掌握LinuxDer Anmeldestatus des Hosts. Wenn festgestellt wird, dass sich ein nicht autorisierter Benutzer angemeldet hat, bedeutet dies, dass der aktuelle Host möglicherweise angegriffen wurde.
[root@localhost ~]# last
root     pts/0        192.168.28.1     Fri Sep  6 23:56   still logged in
reboot   system boot  3.10.0-693.el7.x Fri Sep  6 23:52 - 23:58  (00:05)
ll       :0           :0               Wed Sep  4 14:09 - crash  (00:07)
reboot   system boot  3.10.0-693.el7.x Wed Sep  4 14:06 - 14:24  (00:18)

wtmp begins Wed Sep  4 14:06:18 2019
Nach dem Login kopieren

lastb#

  • Der Befehl lastb wird verwendet, um Benutzerdatensätze von fehlgeschlagenen Anmeldungen abzufragen. Situationen wie falscher Anmeldebenutzername, falsches Passwort usw. werden aufgezeichnet. Eine fehlgeschlagene Anmeldung stellt einen Sicherheitsvorfall dar, da sie bedeutet, dass möglicherweise jemand versucht, Ihr Passwort zu erraten.
[root@localhost ~]# lastb
ll       ssh:notty    192.168.28.1     Sat Sep  7 00:01 - 00:01  (00:00)
ll       :0           :0               Fri Sep  6 23:59 - 23:59  (00:00)

btmp begins Fri Sep  6 23:59:42 2019
Nach dem Login kopieren

In diesem Artikel stellen wir drei gängige Linux-Protokolldateitypen vor, darunter Systemprotokolle, Anwendungsprotokolle und Sicherheitsprotokolle, und beschreiben ihre Formate und Aufzeichnungsinhalte im Detail. Wir haben auch besprochen, wie man Befehlszeilentools und Protokollanzeigeprogramme zum Analysieren und Lesen von Protokolldateien verwendet. Ich glaube, Sie wissen bereits, wie man mit Protokolldateien in Linux-Systemen umgeht. Wenn Sie Fragen oder Anregungen haben, hinterlassen Sie bitte eine Nachricht im Kommentarbereich und wir antworten Ihnen gerne.

Das obige ist der detaillierte Inhalt vonBeherrschen Sie die Fähigkeiten der Linux-Protokollanalyse: umfassendes Lernen vom Format bis zur Analyse. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!

Quelle:lxlinux.net
Erklärung dieser Website
Der Inhalt dieses Artikels wird freiwillig von Internetnutzern beigesteuert und das Urheberrecht liegt beim ursprünglichen Autor. Diese Website übernimmt keine entsprechende rechtliche Verantwortung. Wenn Sie Inhalte finden, bei denen der Verdacht eines Plagiats oder einer Rechtsverletzung besteht, wenden Sie sich bitte an admin@php.cn
Beliebte Tutorials
Mehr>
Neueste Downloads
Mehr>
Web-Effekte
Quellcode der Website
Website-Materialien
Frontend-Vorlage