Linux 日志是系統(tǒng)運(yùn)行狀態(tài)的重要記錄，包含了系統(tǒng)啟動(dòng)、服務(wù)運(yùn)行、用戶操作、安全事件等關(guān)鍵信息，對于故障排查、安全審計(jì)和系統(tǒng)維護(hù)至關(guān)重要。

• 故障排查：定位系統(tǒng)崩潰、服務(wù)異常的根本原因（如服務(wù)啟動(dòng)失敗、硬件故障）。
• 安全審計(jì)：記錄用戶登錄、權(quán)限變更、可疑操作，追蹤潛在安全威脅。
• 性能分析：監(jiān)控資源使用情況（如 CPU、內(nèi)存、磁盤 I/O），優(yōu)化系統(tǒng)配置。
• 操作回溯：記錄管理員操作歷史，確保操作可追溯。

Linux 日志的主要類型、存儲(chǔ)位置及作用

系統(tǒng)核心日志

• /var/log/messages：記錄系統(tǒng)內(nèi)核、服務(wù)啟動(dòng) / 運(yùn)行的通用消息，包含警告和錯(cuò)誤信息。
• /var/log/dmesg：存儲(chǔ)系統(tǒng)啟動(dòng)時(shí)的內(nèi)核日志（如硬件檢測、驅(qū)動(dòng)加載信息），可用dmesg命令查看。
• /var/log/boot.log：記錄系統(tǒng)啟動(dòng)過程中 initramfs 和 systemd 的引導(dǎo)日志。
• /var/log/kern.log：單獨(dú)記錄內(nèi)核相關(guān)的錯(cuò)誤和警告（常見于 Debian/Ubuntu 系統(tǒng)）。

系統(tǒng)服務(wù)日志

• /var/log/ssh/sshd.log：SSH 服務(wù)的登錄記錄、認(rèn)證失敗信息（安全審計(jì)重點(diǎn)）。
• /var/log/apache2/（或/var/log/httpd/）：Web 服務(wù)器（Apache/Nginx）的訪問日志和錯(cuò)誤日志。
• /var/log/mysql/error.log：MySQL 數(shù)據(jù)庫的錯(cuò)誤和運(yùn)行日志。
• /var/log/syslog：通用系統(tǒng)服務(wù)日志（如 cron 任務(wù)、郵件服務(wù)），常見于 Debian/Ubuntu。

用戶登錄日志

• /var/log/wtmp：記錄所有用戶的登錄、注銷歷史，可用last命令查看。
• /var/log/btmp：記錄登錄失敗的嘗試，可用lastb命令查看。
• /var/log/utmp：記錄當(dāng)前登錄的用戶，可用who/w命令查看。

安全與認(rèn)證日志

• /var/log/audit/audit.log：Linux 審計(jì)系統(tǒng)（auditd）的日志，記錄權(quán)限變更、文件訪問等安全事件。
• /var/log/auth.log（Debian/Ubuntu）或 /var/log/secure（CentOS/RHEL）：認(rèn)證相關(guān)日志（如 sudo 操作、密碼錯(cuò)誤）。

系統(tǒng)資源與性能日志

• /var/log/sysstat/：存儲(chǔ)sysstat工具收集的系統(tǒng)性能數(shù)據(jù)（如 CPU、內(nèi)存、磁盤使用情況）。
• /var/log/loadavg：記錄系統(tǒng)負(fù)載平均值（1 分鐘、5 分鐘、15 分鐘）。

Linux 日志查看、分析命令

通用查看

• cat /var/log/messages：直接查看日志文件（適合小文件）。
• tail -f /var/log/syslog：實(shí)時(shí)追蹤日志更新。
• grep “error” /var/log/messages：篩選包含關(guān)鍵詞的日志。

systemd-journald 專用

• journalctl：查看所有日志。
• journalctl -u sshd：僅查看 SSH 服務(wù)日志。
• journalctl --since “2025-06-10” --until “2025-06-12”：按時(shí)間范圍查詢。

通過 Bash 命令行可手動(dòng)分析 Linux 日志，常用命令包括

• cd /var/log/：切換工作目錄至/var/log/。
• head -n 20 ex.log：顯示文件前 20 行內(nèi)容。
• tail -n 20 ex.log：顯示文件最后 20 行內(nèi)容。
• grep “changed” ex.log（最常用）：在 ex.log 文件中搜索包含 “changed” 的行并打印。

Linux 日志查看與分析工具

EventLog Analyzer為 Linux 基礎(chǔ)設(shè)施提供全面的日志管理與分析能力，支持集中管理多臺 Linux 系統(tǒng)的日志、實(shí)時(shí)檢測安全威脅、滿足合規(guī)要求并簡化安全運(yùn)維流程。

• 統(tǒng)一日志管理：通過集中式日志管理解決方案聚合、分析和可視化所有關(guān)鍵 Linux 日志。
• 主動(dòng)威脅檢測：通過實(shí)時(shí)監(jiān)控、高級關(guān)聯(lián)規(guī)則和機(jī)器學(xué)習(xí)驅(qū)動(dòng)的異常檢測，更快發(fā)現(xiàn)并響應(yīng)安全威脅，在暴力攻擊、權(quán)限提升和未授權(quán)訪問等風(fēng)險(xiǎn)升級前識別隱患。
• 簡化事件響應(yīng)：關(guān)聯(lián) Linux 日志源（系統(tǒng)日志、auth.log、應(yīng)用日志等）的事件，可視化展示可疑活動(dòng)時(shí)間線，并深入原始日志進(jìn)行詳細(xì)分析。
• 提升運(yùn)維效率：監(jiān)控 Linux 服務(wù)器的資源利用率（CPU、內(nèi)存、磁盤 I/O），監(jiān)控服務(wù)狀態(tài)，借助實(shí)時(shí)洞察更快排查問題，從而提高系統(tǒng)可用性并降低 Linux 基礎(chǔ)設(shè)施的運(yùn)維成本。
• 集中可視與控制：通過單一控制臺統(tǒng)一查看整個(gè) Linux 環(huán)境，收集、分析和關(guān)聯(lián)服務(wù)器、工作站、應(yīng)用和網(wǎng)絡(luò)設(shè)備的日志。
• 自動(dòng)化事件響應(yīng)：自動(dòng)化事件響應(yīng)工作流，檢測到威脅時(shí)立即執(zhí)行操作（如禁用賬戶、阻斷 IP 或觸發(fā)其他動(dòng)作）以降低風(fēng)險(xiǎn)。
• 簡化合規(guī)審計(jì)：輕松滿足合規(guī)要求，提供 PCI DSS、HIPAA、GDPR、SOX 等法規(guī)的預(yù)制報(bào)表和儀表盤，簡化合規(guī)審計(jì)流程。
• 簡化運(yùn)維：通過自動(dòng)化日志收集、解析和分析簡化日志管理，為 IT 團(tuán)隊(duì)提供可操作的洞察和直觀儀表盤，使其專注于更具戰(zhàn)略性的任務(wù)。

Linux 日志分析應(yīng)用

安全運(yùn)維 (Security Operations)

通過分析用戶認(rèn)證、文件系統(tǒng)訪問和權(quán)限使用模式，自動(dòng)識別安全事件：

• SSH 暴力攻擊：檢測短時(shí)間內(nèi)同一 IP 的多次 SSH 登錄失敗，識別潛在暴力 破解行為。
• 權(quán)限提升嘗試：識別未經(jīng)授權(quán)的提權(quán)行為（如濫用 sudo 命令）。
• 未授權(quán)訪問：標(biāo)記來自異常位置或異常時(shí)間的可疑登錄。
• 惡意軟件活動(dòng)：識別可疑文件修改或已知惡意軟件模式，防止進(jìn)一步入侵。

活動(dòng)監(jiān)控 (Activity Monitoring)

通過專門的監(jiān)控功能，全面了解Linux 系統(tǒng)，監(jiān)控關(guān)鍵系統(tǒng)活動(dòng)。包括：

• sudo 命令執(zhí)行：確保特權(quán)用戶操作可追溯，檢測潛在濫用行為。
• SSH 登錄：跟蹤用戶登錄（成功 / 失敗）、源 IP 和時(shí)間戳，識別未經(jīng)授權(quán)的訪問。
• 用戶賬戶修改：監(jiān)控賬戶創(chuàng)建、刪除及密碼修改等操作。
• 系統(tǒng)事件：跟蹤系統(tǒng)啟動(dòng)、關(guān)機(jī)、服務(wù)狀態(tài)變更（如 SSH、cron）等關(guān)鍵事件。
• 文件完整性監(jiān)控（FIM）：防范未授權(quán)的文件訪問、修改或權(quán)限變更。

系統(tǒng)管理 (System Administration)

通過集中日志聚合和分析，以簡化系統(tǒng)管理任務(wù)。

• 監(jiān)控配置變更：監(jiān)控系統(tǒng)配置修改（如軟件包安裝與更新），確保穩(wěn)定性并識別未授權(quán)變更。
• 監(jiān)控服務(wù)狀態(tài)：實(shí)時(shí)告警服務(wù)故障與重啟，確保關(guān)鍵服務(wù)持續(xù)可用。
• 主動(dòng)問題解決：關(guān)聯(lián)系統(tǒng)事件與性能問題，定位根本原因并在影響用戶前解決問題。
• 容量規(guī)劃：分析資源利用率（CPU、內(nèi)存、磁盤空間）歷史數(shù)據(jù)，預(yù)測未來需求并規(guī)劃擴(kuò)容。

用戶活動(dòng)審計(jì) (User Activity Auditing)

在 Linux 環(huán)境中維護(hù)詳細(xì)的用戶活動(dòng)審計(jì)軌跡：

• 檢測潛在內(nèi)部威脅：建立正常使用模式，識別可能存在惡意意圖的異常行為。
• 監(jiān)控特權(quán)用戶操作：跟蹤所有高權(quán)限用戶行為（包括 sudo 使用和 SSH 會(huì)話）。
• 審計(jì)用戶登錄和注銷：跟蹤用戶登錄和注銷活動(dòng)，包括成功和失敗的嘗試，以識別潛在的安全漏洞。

總結(jié)

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。