Linux 系統日志
許多有價值的日志文件都是由 Linux 自動地為你創建的。你可以在 /var/log 目錄中找到它們。下面是在一個典型的 Ubuntu 系統中這個目錄的樣子:
一些最為重要的 Linux 系統日志包括:
/var/log/syslog 或 /var/log/messages 存儲所有的全局系統活動數據,包括開機信息。基于 Debian 的系統如 Ubuntu 在 /var/log/syslog 中存儲它們,而基于 RedHat 的系統如 RHEL 或 CentOS 則在 /var/log/messages 中存儲它們。
/var/log/auth.log 或 /var/log/secure 存儲來自可插拔認證模塊(PAM)的日志,包括成功的登錄,失敗的登錄嘗試和認證方式。Ubuntu 和 Debian 在 /var/log/auth.log 中存儲認證信息,而 RedHat 和 CentOS 則在 /var/log/secure 中存儲該信息。
/var/log/kern 存儲內核的錯誤和警告數據,這對于排除與定制內核相關的故障尤為實用。
/var/log/cron 存儲有關 cron 作業的信息。使用這個數據來確保你的 cron 作業正成功地運行著。
Digital Ocean 有一個關于這些文件的完整教程,介紹了 rsyslog 如何在常見的發行版本如 RedHat 和 CentOS 中創建它們。
應用程序也會在這個目錄中寫入日志文件。例如像 Apache,Nginx,MySQL 等常見的服務器程序可以在這個目錄中寫入日志文件。其中一些日志文件由應用程序自己創建,其他的則通過 syslog (具體見下文)來創建。
什么是 Syslog?
Linux 系統日志文件是如何創建的呢?答案是通過 syslog 守護程序,它在 syslog 套接字 /dev/log 上監聽日志信息,然后將它們寫入適當的日志文件中。
單詞“syslog” 代表幾個意思,并經常被用來簡稱如下的幾個名稱之一:
Syslog 守護進程 — 一個用來接收、處理和發送 syslog 信息的程序。它可以遠程發送 syslog 到一個集中式的服務器或寫入到一個本地文件。常見的例子包括 rsyslogd 和 syslog-ng。在這種使用方式中,人們常說“發送到 syslog”。
Syslog 協議 — 一個指定日志如何通過網絡來傳送的傳輸協議和一個針對 syslog 信息(具體見下文) 的數據格式的定義。它在 RFC-5424 中被正式定義。對于文本日志,標準的端口是 514,對于加密日志,端口是 6514。在這種使用方式中,人們常說“通過 syslog 傳送”。
Syslog 信息 — syslog 格式的日志信息或事件,它包括一個帶有幾個標準字段的消息頭。在這種使用方式中,人們常說“發送 syslog”。
Syslog 信息或事件包括一個帶有幾個標準字段的消息頭,可以使分析和路由更方便。它們包括時間戳、應用程序的名稱、在系統中信息來源的分類或位置、以及事件的優先級。
下面展示的是一個包含 syslog 消息頭的日志信息,它來自于控制著到該系統的遠程登錄的 sshd 守護進程,這個信息描述的是一次失敗的登錄嘗試:
時間戳
時間戳 (上面的例子為 2003-10-11T22:14:15.003Z) 暗示了在系統中發送該信息的時間和日期。這個時間在另一系統上接收該信息時可能會有所不同。上面例子中的時間戳可以分解為:
2003-10-11 年,月,日。
T 為時間戳的必需元素,它將日期和時間分隔開。
22:14:15.003 是 24 小時制的時間,包括進入下一秒的毫秒數(003)。
Z 是一個可選元素,指的是 UTC 時間,除了 Z,這個例子還可以包括一個偏移量,例如 -08:00,這意味著時間從 UTC 偏移 8 小時,即 PST 時間。
主機名
主機名 字段(在上面的例子中對應 server1.com) 指的是主機的名稱或發送信息的系統.
應用名
應用名 字段(在上面的例子中對應 sshd:auth) 指的是發送信息的程序的名稱.
優先級
優先級字段或縮寫為 pri (在上面的例子中對應 ) 告訴我們這個事件有多緊急或多嚴峻。它由兩個數字字段組成:設備字段和緊急性字段。緊急性字段從代表 debug 類事件的數字 7 一直到代表緊急事件的數字 0 。設備字段描述了哪個進程創建了該事件。它從代表內核信息的數字 0 到代表本地應用使用的 23 。
Pri 有兩種輸出方式。第一種是以一個單獨的數字表示,可以這樣計算:先用設備字段的值乘以 8,再加上緊急性字段的值:(設備字段)(8) + (緊急性字段)。第二種是 pri 文本,將以“設備字段.緊急性字段” 的字符串格式輸出。后一種格式更方便閱讀和搜索,但占據更多的存儲空間。
在 Linux 中使用日志來排錯
登錄失敗原因
如果你想檢查你的系統是否安全,你可以在驗證日志中檢查登錄失敗的和登錄成功但可疑的用戶。當有人通過不正當或無效的憑據來登錄時會出現認證失敗,這通常發生在使用 SSH 進行遠程登錄或 su 到本地其他用戶來進行訪問權時。這些是由插入式驗證模塊(PAM)來記錄的。在你的日志中會看到像 Failed password 和 user unknown 這樣的字符串。而成功認證記錄則會包括像 Accepted password 和 session opened 這樣的字符串。
失敗的例子:
日志管理系統可以使用自動解析功能從 Linux 日志中提取用戶名。這使你可以看到用戶的信息,并能通過點擊過濾。在下面這個例子中,我們可以看到,root 用戶登錄了 2700 次之多,因為我們篩選的日志僅顯示 root 用戶的嘗試登錄記錄。
日志管理系統也可以讓你以時間為做坐標軸的圖表來查看,使你更容易發現異常。如果有人在幾分鐘內登錄失敗一次或兩次,它可能是一個真正的用戶而忘記了密碼。但是,如果有幾百個失敗的登錄并且使用的都是不同的用戶名,它更可能是在試圖攻擊系統。在這里,你可以看到在3月12日,有人試圖登錄 Nagios 幾百次。這顯然不是一個合法的系統用戶。
重啟的原因
有時候,一臺服務器由于系統崩潰或重啟而宕機。你怎么知道它何時發生,是誰做的?
關機命令
如果有人手動運行 shutdown 命令,你可以在驗證日志文件中看到它。在這里,你可以看到,有人從 IP 50.0.134.125 上作為 ubuntu 的用戶遠程登錄了,然后關閉了系統。
當你系統的內存不足時,進程會被殺死,通常會殺死使用最多資源的進程。當系統使用了所有內存,而新的或現有的進程試圖使用更多的內存時就會出現錯誤。在你的日志文件查找像 Out of Memory 這樣的字符串或類似 kill 這樣的內核警告信息。這些信息表明系統故意殺死進程或應用程序,而不是允許進程崩潰。
例如:
定時任務錯誤日志
cron 守護程序是一個調度器,可以在指定的日期和時間運行進程。如果進程運行失敗或無法完成,那么 cron 的錯誤出現在你的日志文件中。具體取決于你的發行版,你可以在 /var/log/cron,/var/log/messages,和 /var/log/syslog 幾個位置找到這個日志。cron 任務失敗原因有很多。通常情況下,問題出在進程中而不是 cron 守護進程本身。
默認情況下,cron 任務的輸出會通過 postfix 發送電子郵件。這是一個顯示了該郵件已經發送的日志。不幸的是,你不能在這里看到郵件的內容。
*/5 * * * * echo ‘Hello World’ 2>&1 | /usr/bin/logger -t helloCron
它創建的日志條目:
希望在日志中有問題根源的線索,也可以根據需要添加額外的日志記錄。
新聞熱點
疑難解答
