Beherrschen Sie die Fähigkeiten der Linux-Protokollanalyse: umfassendes Lernen vom Format bis zur Analyse

Die Protokolldateien im Linux-System enthalten den Systembetriebsstatus und die Betriebsinformationen verschiedener Anwendungen. Sie sind für die Systemdiagnose und Fehlerbehebung von entscheidender Bedeutung. Daher ist das Erlernen des Lesens und Analysierens von Linux-Protokolldateien eine Fähigkeit, die jeder Linux-Benutzer beherrschen muss. Dieser Artikel führt Sie in die Typen, Formate und gängigen Lesemethoden von Linux-Protokolldateien ein und hilft Ihnen, Systemprobleme leicht zu verstehen und zu lösen.

Drei Arten von Protokollen#

• Kernel- und Systemprotokolle:

Diese Protokolldaten werden von Systemdiensten verwaltetrsyslog统一管理，根据其主配置文件/etc/rsyslog.conf中的设置决定将内核消息及各种系统程序消息记录到什么位置。系统中有相当一部分程序会把自己的日志文件交由rsyslog, daher haben auch die von diesen Programmen verwendeten Protokolldatensätze ein ähnliches Format.

• Benutzerprotokoll:

Diese Art von Protokolldaten wird verwendet, um LinuxInformationen im Zusammenhang mit der An- und Abmeldung von Betriebssystembenutzern beim System aufzuzeichnen, einschließlich Benutzername, angemeldetes Terminal, Anmeldezeit, Quellhost, verwendete Prozessvorgänge usw.

• Programmprotokoll:

Einige Anwendungen entscheiden sich dafür, eine Protokolldatei unabhängig zu verwalten (anstatt sie an die rsyslogDienstverwaltung zu übergeben), um verschiedene Ereignisinformationen während der Ausführung des Programms aufzuzeichnen. Da diese Programme nur für die Verwaltung ihrer eigenen Protokolldateien verantwortlich sind, können die von verschiedenen Programmen verwendeten Protokollierungsformate stark variieren.

Gemeinsame Protokolldateien#

Pfad	Anleitung
/var/log/messages	Linux-Kernel-Meldungen und öffentliche Protokollinformationen verschiedener Anwendungen aufzeichnen
/var/log/cron	Zeichnen Sie Ereignisinformationen auf, die durch geplante Crond-Aufgaben generiert werden
/var/log/dmesg	Zeichnen Sie während des Bootvorgangs verschiedene Ereignisinformationen des Linux-Betriebssystems auf
/var/log/maillog	Protokollieren Sie E-Mail-Aktivitäten, die in das System ein- oder ausgehen
/var/log/lastlog	Zeichnen Sie die letzten Anmeldeereignisse für jeden Benutzer auf
/var/log/secure	Erfassen Sie Sicherheitsereignisinformationen im Zusammenhang mit der Benutzerauthentifizierung
/var/log/wtmp	Zeichnen Sie die Anmelde-, Abmelde- und Systemstart- und -abschaltereignisse jedes Benutzers auf
/var/log/btmp	Aufzeichnung fehlgeschlagen, falsche Anmeldeversuche und Verifizierungsereignisse

Prioritätsstufe der Protokolle#

“

Je kleiner die Nummernstufe, desto höher die Priorität und desto wichtiger die Nachricht.

“

Level	Englische Wörter	Chinesische Definition	Anleitung
0	EMERG	Notfall	Wird dazu führen, dass das Hostsystem nicht verfügbar ist
1	ALARM	WARNUNG	Probleme, die sofort gelöst werden müssen
2	KRIT	Ernsthaft	Eine ernstere Situation
3	ERR	Fehler	Beim Ausführen ist ein Fehler aufgetreten
4	WARNUNG	Erinnerung	Wichtige Ereignisse, die sich auf Systemfunktionen auswirken können und an die Benutzer erinnert werden müssen
5	HINWEIS	Achtung	Es hat keinen Einfluss auf die normalen Funktionen, aber es handelt sich um ein Ereignis, das Aufmerksamkeit erfordert
6	INFO	Informationen	Allgemeine Informationen
7	DEBUG	Debuggen	Programm- oder System-Debugging-Informationen usw.

Benutzerprotokollbezogene Befehle#

users#

• Der Befehl users gibt einfach die Namen der aktuell angemeldeten Benutzer aus, wobei jeder angezeigte Benutzername einer Anmeldesitzung entspricht. Wenn ein Benutzer mehr als eine Anmeldesitzung hat, wird sein Benutzername gleich oft angezeigt.

[root@localhost ~]# users
root

wer#

• who命令用于报告当前登录到系统中的每个用户的信息。使用该命令，系统管理员可以查看当前系统存在哪些不合法用户，从而对其进行审计和处理。whoDie Standardausgabe umfasst Benutzername, Terminaltyp, Anmeldedatum und Remote-Host.

[root@localhost ~]# who
root     pts/0        2019-09-06 23:56 (192.168.28.1)

w#

• w< Der Befehl /code> wird verwendet, um Informationen über jeden Benutzer im aktuellen System und die von ihm ausgeführten Prozesse anzuzeigen, z. B. <code style="font-size: 14px;padding: 2px 4px;border-radius: 4px;margin: 0 2px;font-family: Operator Mono, Consolas, Monaco, Menlo, monospace;color: #10f5d6c">w命令用于显示当前系统中的每个用户及其所运行的进程信息，比users、who, who Befehlsausgabeinhalte sind umfangreicher.

 23:57:33 up 4 min,  1 user,  load average: 0.02, 0.18, 0.11
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
root     pts/0    192.168.28.1     23:56    5.00s  0.11s  0.02s w

last#

• last命令用于查询成功登录到系统的用户记录，最近的登录情况将显示在最前面。通过last命令可以及时掌握LinuxDer Anmeldestatus des Hosts. Wenn festgestellt wird, dass sich ein nicht autorisierter Benutzer angemeldet hat, bedeutet dies, dass der aktuelle Host möglicherweise angegriffen wurde.

[root@localhost ~]# last
root     pts/0        192.168.28.1     Fri Sep  6 23:56   still logged in
reboot   system boot  3.10.0-693.el7.x Fri Sep  6 23:52 - 23:58  (00:05)
ll       :0           :0               Wed Sep  4 14:09 - crash  (00:07)
reboot   system boot  3.10.0-693.el7.x Wed Sep  4 14:06 - 14:24  (00:18)

wtmp begins Wed Sep  4 14:06:18 2019

lastb#

• Der Befehl lastb wird verwendet, um Benutzerdatensätze von fehlgeschlagenen Anmeldungen abzufragen. Situationen wie falscher Anmeldebenutzername, falsches Passwort usw. werden aufgezeichnet. Eine fehlgeschlagene Anmeldung stellt einen Sicherheitsvorfall dar, da sie bedeutet, dass möglicherweise jemand versucht, Ihr Passwort zu erraten.

[root@localhost ~]# lastb
ll       ssh:notty    192.168.28.1     Sat Sep  7 00:01 - 00:01  (00:00)
ll       :0           :0               Fri Sep  6 23:59 - 23:59  (00:00)

btmp begins Fri Sep  6 23:59:42 2019

In diesem Artikel stellen wir drei gängige Linux-Protokolldateitypen vor, darunter Systemprotokolle, Anwendungsprotokolle und Sicherheitsprotokolle, und beschreiben ihre Formate und Aufzeichnungsinhalte im Detail. Wir haben auch besprochen, wie man Befehlszeilentools und Protokollanzeigeprogramme zum Analysieren und Lesen von Protokolldateien verwendet. Ich glaube, Sie wissen bereits, wie man mit Protokolldateien in Linux-Systemen umgeht. Wenn Sie Fragen oder Anregungen haben, hinterlassen Sie bitte eine Nachricht im Kommentarbereich und wir antworten Ihnen gerne.

Das obige ist der detaillierte Inhalt vonBeherrschen Sie die Fähigkeiten der Linux-Protokollanalyse: umfassendes Lernen vom Format bis zur Analyse. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!