分析 linux 日志文件,linux精讲|操作系统常见日志文件分析
linux運維,離不開對系統日志的分析,除syslog外,還有常用的dmesg、wtmp、btmp、bash_history等系統日志文件以及應用程序相關的日志。
一、dmesg日志:記錄內核日志信息
日志文件/var/log/dmesg中記錄了系統啟動過程中的內核日志信息,包括系統的設備信息,以及在啟動和操作過程中系統記錄的任何錯誤和問題的信息。以下是該文件內容的部分截取。
Linux version 2.6.18-194.el5 (mockbuild@x86-007.build.bos.redhat.com) (gcc version 4.1.2 20080704 (Red Hat 4.1.2-48)) #1 SMP Tue Mar 16 21:52:43 EDT 2010
BIOS-provided physical RAM map:
BIOS-e820: 0000000000010000 - 000000000009fc00 (usable)
BIOS-e820: 000000000009fc00 - 00000000000a0000 (reserved)
BIOS-e820: 00000000000e0000 - 0000000000100000 (reserved)
BIOS-e820: 0000000000100000 - 000000001f7d0000 (usable)
BIOS-e820: 000000001f7d0000 - 000000001f7efc00 (reserved)
BIOS-e820: 000000001f7efc00 - 000000001f7fb000 (ACPI NVS)
BIOS-e820: 000000001f7fb000 - 000000001f800000 (reserved)
BIOS-e820: 00000000e0000000 - 00000000f0000000 (reserved)
BIOS-e820: 00000000fec00000 - 00000000fec02000 (reserved)
BIOS-e820: 00000000fed20000 - 00000000fed9b000 (reserved)
BIOS-e820: 00000000feda0000 - 00000000fedc0000 (reserved)
BIOS-e820: 00000000ffb00000 - 00000000ffc00000 (reserved)
BIOS-e820: 00000000fff00000 - 0000000100000000 (reserved)
0MB HIGHMEM available.
503MB LOWMEM available.
Memory for crash kernel (0x0 to 0x0) notwithin permissible range
disabling kdump
Using x86 segment limits to approximate NX protection
On node 0 totalpages: 128976
DMA zone: 4096 pages, LIFO batch:0
Normal zone: 124880 pages, LIFO batch:31
DMI 2.3 present.
Using APIC driver default
ACPI: RSDP (v000 HP??????????????????????????????????? ) @ 0x000fe270
ACPI: RSDT (v001 HP???? 30C4???? 0x31100620 HP?? 0x00000001) @ 0x1f7efc84
ACPI: FADT (v002 HP???? 30C4???? 0x00000002 HP?? 0x00000001) @ 0x1f7efc00
ACPI: MADT (v001 HP???? 30C4???? 0x00000001 HP?? 0x00000001) @ 0x1f7efcb8
ACPI: MCFG (v001 HP???? 30C4???? 0x00000001 HP?? 0x00000001) @ 0x1f7efd14
ACPI: SSDT (v001 HP?????? HPQPpc 0x00001001 MSFT 0x0100000e) @ 0x1f7f6698
ACPI: DSDT (v001 HP?????? DAU00? 0x00010000 MSFT 0x0100000e) @ 0x00000000
ACPI: PM-Timer IO Port: 0x1008
ACPI: Local APIC address 0xfec01000
ACPI: LAPIC (acpi_id[0x01] lapic_id[0x00] enabled)
Processor #0 6:13 APIC version 20
ACPI: LAPIC_NMI (acpi_id[0x01] high edge lint[0x1])
ACPI: IOAPIC (id[0x01] address[0xfec00000] gsi_base[0])
IOAPIC[0]: apic_id 1, version 32, address 0xfec00000, GSI 0-23
可以通過該日志文件來判斷某些硬件設備在系統啟動過程中是否被正確識別,例如:用戶新添加了一個磁盤,如果該磁盤能被linux系統正確識別,那么在dmesg日志文件中應該能看到它的信息。
命令格式:dmesg |grep? "sd*"
二、用戶登錄日志
/var/log/wtmp和/var/log/btmp是Linux系統上用戶保存用戶登錄信息的日志文件。其中wtmp用于保存用戶成功登錄的記錄,而btmp則用于保存你用戶登錄失敗的日志記錄,它們為系統安全審計提供了重要的信息依據。這兩個文件都是二進制的,無法直接使用文本編輯工具打開,必須通過last和lastb命令進行查看。可以使用如下命令:
-bash-3.2$ last
bdkyr??? pts/0??????? 123.119.*.* ? Thu Mar? 5 23:29?? still logged in
bdkyr??? pts/0??????? 221.223.*.* ? Wed Mar? 4 22:05 - 22:53? (00:48)
bdkyr??? pts/0??????? *.* .116.186? Wed Mar? 4 20:41 - 20:48? (00:06)
bdkyr??? pts/0??????? *.* .110.74?? Thu Feb 12 22:04 - 23:51? (01:46)
bdkyr??? pts/0??????? *.* .116.22?? Wed Feb 11 22:07 - 00:24? (02:16)
bdkyr??? pts/2??????? 114.*.* .57?? Wed Feb 11 00:13 - 00:41? (00:27)
bdkyr??? pts/1??????? *.* .196.57?? Wed Feb 11 00:13 - 00:41? (00:27)
系統管理員因該定期查看上述兩個日志文件,檢查是否有某些非法用戶登錄系統或者嘗試登錄系統,以確保系統安全。
三、用戶操作記錄
默認情況下,在每個用戶的主目錄下都會有一個.bash_history的文件,在該文件中保存了該用戶輸入的所有命令記錄,管理員可以通過該文件查看某個用戶到底做過什么操作。例如
cat? /home/bdkyr/.bash_history
系統管理員應該定期查看該文件愛你,檢查用戶是否進行了一些非法操作。
四、應用日志
除了系統日志外,Linux系統的應用軟件也有自己的日志,由于不同的應用軟件都會有特殊的日志格式,各個應用軟件的默認日志目錄全部在應用程序目錄下,如apache的: /usr/local/apache/log。限于篇幅的原因,在這里不能逐一介紹,作為系統管理員,應該清楚如何使用這些日志文件,以便在軟件出現故障時能快速找到有效的信息支持。
與50位技術專家面對面20年技術見證,附贈技術全景圖總結
以上是生活随笔為你收集整理的分析 linux 日志文件,linux精讲|操作系统常见日志文件分析的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: linux防火墙文件找不到,防火墙问题
- 下一篇: linux中计算高斯的进程,linux下