Linux日志查看和分析过程

 更新时间:2026年01月26日 09:17:50   作者:ManageEngine卓豪  
Linux日志是系统运行状态的重要记录,包括系统启动、服务运行、用户操作和安全事件等信息,对于故障排查、安全审计和系统维护至关重要,文章详细介绍了Linux日志的主要类型、存储位置及作用,并提供了常用的查看和分析命令及工具

Linux 日志是系统运行状态的重要记录,包含了系统启动、服务运行、用户操作、安全事件等关键信息,对于故障排查、安全审计和系统维护至关重要。

  • 故障排查:定位系统崩溃、服务异常的根本原因(如服务启动失败、硬件故障)。
  • 安全审计:记录用户登录、权限变更、可疑操作,追踪潜在安全威胁。
  • 性能分析:监控资源使用情况(如 CPU、内存、磁盘 I/O),优化系统配置。
  • 操作回溯:记录管理员操作历史,确保操作可追溯。

Linux 日志的主要类型、存储位置及作用

系统核心日志

  • /var/log/messages:记录系统内核、服务启动 / 运行的通用消息,包含警告和错误信息。
  • /var/log/dmesg:存储系统启动时的内核日志(如硬件检测、驱动加载信息),可用dmesg命令查看。
  • /var/log/boot.log:记录系统启动过程中 initramfs 和 systemd 的引导日志。
  • /var/log/kern.log:单独记录内核相关的错误和警告(常见于 Debian/Ubuntu 系统)。

系统服务日志

  • /var/log/ssh/sshd.log:SSH 服务的登录记录、认证失败信息(安全审计重点)。
  • /var/log/apache2/(或/var/log/httpd/):Web 服务器(Apache/Nginx)的访问日志和错误日志。
  • /var/log/mysql/error.log:MySQL 数据库的错误和运行日志。
  • /var/log/syslog:通用系统服务日志(如 cron 任务、邮件服务),常见于 Debian/Ubuntu。

用户登录日志

  • /var/log/wtmp:记录所有用户的登录、注销历史,可用last命令查看。
  • /var/log/btmp:记录登录失败的尝试,可用lastb命令查看。
  • /var/log/utmp:记录当前登录的用户,可用who/w命令查看。

安全与认证日志

  • /var/log/audit/audit.log:Linux 审计系统(auditd)的日志,记录权限变更、文件访问等安全事件。
  • /var/log/auth.log(Debian/Ubuntu)或 /var/log/secure(CentOS/RHEL):认证相关日志(如 sudo 操作、密码错误)。

系统资源与性能日志

  • /var/log/sysstat/:存储sysstat工具收集的系统性能数据(如 CPU、内存、磁盘使用情况)。
  • /var/log/loadavg:记录系统负载平均值(1 分钟、5 分钟、15 分钟)。

Linux 日志查看、分析命令

通用查看

  • cat /var/log/messages:直接查看日志文件(适合小文件)。
  • tail -f /var/log/syslog:实时追踪日志更新。
  • grep “error” /var/log/messages:筛选包含关键词的日志。

systemd-journald 专用

  • journalctl:查看所有日志。
  • journalctl -u sshd:仅查看 SSH 服务日志。
  • journalctl --since “2025-06-10” --until “2025-06-12”:按时间范围查询。

通过 Bash 命令行可手动分析 Linux 日志,常用命令包括

  • cd /var/log/:切换工作目录至/var/log/。
  • head -n 20 ex.log:显示文件前 20 行内容。
  • tail -n 20 ex.log:显示文件最后 20 行内容。
  • grep “changed” ex.log(最常用):在 ex.log 文件中搜索包含 “changed” 的行并打印。

Linux 日志查看与分析工具

EventLog Analyzer为 Linux 基础设施提供全面的日志管理与分析能力,支持集中管理多台 Linux 系统的日志、实时检测安全威胁、满足合规要求并简化安全运维流程。

  • 统一日志管理:通过集中式日志管理解决方案聚合、分析和可视化所有关键 Linux 日志。
  • 主动威胁检测:通过实时监控、高级关联规则和机器学习驱动的异常检测,更快发现并响应安全威胁,在暴力攻击、权限提升和未授权访问等风险升级前识别隐患。
  • 简化事件响应:关联 Linux 日志源(系统日志、auth.log、应用日志等)的事件,可视化展示可疑活动时间线,并深入原始日志进行详细分析。
  • 提升运维效率:监控 Linux 服务器的资源利用率(CPU、内存、磁盘 I/O),监控服务状态,借助实时洞察更快排查问题,从而提高系统可用性并降低 Linux 基础设施的运维成本。
  • 集中可视与控制:通过单一控制台统一查看整个 Linux 环境,收集、分析和关联服务器、工作站、应用和网络设备的日志。
  • 自动化事件响应:自动化事件响应工作流,检测到威胁时立即执行操作(如禁用账户、阻断 IP 或触发其他动作)以降低风险。
  • 简化合规审计:轻松满足合规要求,提供 PCI DSS、HIPAA、GDPR、SOX 等法规的预制报表和仪表盘,简化合规审计流程。
  • 简化运维:通过自动化日志收集、解析和分析简化日志管理,为 IT 团队提供可操作的洞察和直观仪表盘,使其专注于更具战略性的任务。

Linux 日志分析应用

安全运维 (Security Operations)

通过分析用户认证、文件系统访问和权限使用模式,自动识别安全事件:

  • SSH 暴力攻击:检测短时间内同一 IP 的多次 SSH 登录失败,识别潜在暴力 破解行为。
  • 权限提升尝试:识别未经授权的提权行为(如滥用 sudo 命令)。
  • 未授权访问:标记来自异常位置或异常时间的可疑登录。
  • 恶意软件活动:识别可疑文件修改或已知恶意软件模式,防止进一步入侵。

活动监控 (Activity Monitoring)

通过专门的监控功能,全面了解Linux 系统,监控关键系统活动。包括:

  • sudo 命令执行:确保特权用户操作可追溯,检测潜在滥用行为。
  • SSH 登录:跟踪用户登录(成功 / 失败)、源 IP 和时间戳,识别未经授权的访问。
  • 用户账户修改:监控账户创建、删除及密码修改等操作。
  • 系统事件:跟踪系统启动、关机、服务状态变更(如 SSH、cron)等关键事件。
  • 文件完整性监控(FIM):防范未授权的文件访问、修改或权限变更。

系统管理 (System Administration)

通过集中日志聚合和分析,以简化系统管理任务。

  • 监控配置变更:监控系统配置修改(如软件包安装与更新),确保稳定性并识别未授权变更。
  • 监控服务状态:实时告警服务故障与重启,确保关键服务持续可用。
  • 主动问题解决:关联系统事件与性能问题,定位根本原因并在影响用户前解决问题。
  • 容量规划:分析资源利用率(CPU、内存、磁盘空间)历史数据,预测未来需求并规划扩容。

用户活动审计 (User Activity Auditing)

在 Linux 环境中维护详细的用户活动审计轨迹:

  • 检测潜在内部威胁:建立正常使用模式,识别可能存在恶意意图的异常行为。
  • 监控特权用户操作:跟踪所有高权限用户行为(包括 sudo 使用和 SSH 会话)。
  • 审计用户登录和注销:跟踪用户登录和注销活动,包括成功和失败的尝试,以识别潜在的安全漏洞。

总结

以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。

相关文章

  • Linux下Oracle设置定时任务备份数据库的教程

    Linux下Oracle设置定时任务备份数据库的教程

    这篇文章主要介绍了Linux下Oracle设置定时任务备份数据库的方法,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
    2019-11-11
  • linux中grep命令数据过滤和筛选方式

    linux中grep命令数据过滤和筛选方式

    这篇文章主要介绍了linux中grep命令数据过滤和筛选方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教
    2023-09-09
  • linux chroot命令详解

    linux chroot命令详解

    这篇文章主要介绍了linux chroot命令详解,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
    2018-03-03
  • 如何使用Linux的rsync

    如何使用Linux的rsync

    rsync是linux系统下的数据镜像备份工具。使用快速增量备份工具Remote Sync可以远程同步,支持本地复制,或者与其他SSH、rsync主机同步
    2021-06-06
  • apache后缀名支持 让apache支持apk ipk下载的方法

    apache后缀名支持 让apache支持apk ipk下载的方法

    一般都在mime.types文件中添加相应的后缀,重启apache后即可
    2012-04-04
  • Centos7实现磁盘限额设置方法

    Centos7实现磁盘限额设置方法

    本篇文章给大家详细分享了Centos7实现磁盘限额设置方法,对此有需要的朋友可以参考学习下。
    2018-02-02
  • Apache配置独立域名的方法

    Apache配置独立域名的方法

    现在遇到的同学,好多还不会配置Apache,那就更别说在本地配置独立配置独立域名了
    2012-02-02
  • Linux磁盘分区、格式化和挂载方式

    Linux磁盘分区、格式化和挂载方式

    本文详细介绍了Linux系统中磁盘分区、格式化和挂载的基本操作步骤和命令,包括MBR和GPT分区表的区别、fdisk和gdisk命令的使用、常见的文件系统格式以及/etc/fstab文件的配置
    2025-01-01
  • centOS7 桥接模式设置静态Ip的方法步骤

    centOS7 桥接模式设置静态Ip的方法步骤

    这篇文章主要给大家介绍了关于centOS7 桥接模式设置静态Ip的方法步骤,文中通过示例代码介绍的非常详细,对大家学习或者使用centOS7具有一定的参考学习价值,需要的朋友们下面来一起学习学习吧
    2019-07-07
  • Linux文件操作高频使用命令小结

    Linux文件操作高频使用命令小结

    这篇文章主要介绍了Linux文件操作高频使用命令小结,本文给大家介绍的非常详细,具有一定的参考借鉴价值,需要的朋友可以参考下
    2019-11-11

最新评论