Главная страница » Статьи
0
5 месяцев
Статьи

12 важнейших файлов журналов Linux, которые вы должны контролировать

Linux

Файлы журналов - это записи, которые Linux хранит для администраторов, чтобы отслеживать и контролировать важные события, связанные с сервером, ядром, службами и приложениями, запущенными на нем. В этом посте мы рассмотрим основные файлы журналов Linux, которые должны отслеживать администраторы серверов.

Содержание
  1. Что такое журнальные файлы Linux
  2. Зачем следить за файлами журналов Linux
  3. Какие файлы журналов Linux следует отслеживать
  4. /var/log/messages
  5. Что здесь регистрируется?
  6. Как я могу использовать эти журналы?
  7. /var/log/auth.log
  8. Что здесь регистрируется?
  9. Как я могу использовать эти журналы?
  10. /var/log/secure
  11. Что здесь регистрируется?
  12. Как я могу использовать эти журналы?
  13. /var/log/boot.log
  14. Что здесь записывается?
  15. Как я могу использовать эти журналы?
  16. /var/log/dmesg
  17. Что здесь регистрируется?
  18. Как я могу использовать эти журналы?
  19. /var/log/kern.log
  20. Что здесь регистрируется?
  21. Как я могу использовать эти журналы?
  22. /var/log/faillog
  23. Что здесь регистрируется?
  24. Как я могу использовать эти журналы?
  25. /var/log/cron
  26. Что здесь регистрируется?
  27. Как я могу использовать эти журналы
  28. /var/log/yum.log
  29. Что здесь записывается?
  30. Как можно использовать эти журналы?
  31. /var/log/maillog или /var/log/mail.log
  32. Что здесь регистрируется?
  33. Как я могу использовать эти журналы?
  34. /var/log/httpd/
  35. Что здесь записывается?
  36. Как я могу использовать эти журналы?
  37. /var/log/mysqld.log или /var/log/mysql.log
  38. Что здесь регистрируется?
  39. Как я могу использовать этот журнал?
  40. Заключение

Что такое журнальные файлы Linux

Файлы журналов - это набор записей, которые Linux ведет для администраторов, чтобы отслеживать важные события. Они содержат сообщения о сервере, включая ядро, службы и приложения, работающие на нем.

Linux предоставляет централизованное хранилище файлов журналов, которые могут быть расположены в каталоге /var/log.

Файлы журналов, генерируемые в среде Linux, обычно можно разделить на четыре различные категории:

  • Журналы приложений
  • Журналы событий
  • Служебные журналы
  • Системные журналы

Зачем следить за файлами журналов Linux

Мониторинг журналов является неотъемлемой частью обязанностей любого администратора сервера.

Контролируя файлы журналов Linux, вы можете получить подробную информацию о производительности сервера, безопасности, сообщениях об ошибках и основных проблемах. Если вы хотите использовать проактивный, а не реактивный подход к управлению сервером, регулярный анализ лог-файлов необходим на 100%.

Проще говоря, файлы журналов позволяют вам предвидеть предстоящие проблемы еще до того, как они возникнут.

Какие файлы журналов Linux следует отслеживать

Мониторинг и анализ всех этих файлов может оказаться непростой задачей.

Из-за огромного количества журналов иногда бывает трудно найти нужный файл, содержащий необходимую информацию.

Чтобы немного облегчить вам задачу, мы познакомим вас с некоторыми из наиболее важных файлов журналов Linux, которые вы должны отслеживать.

Пожалуйста, обратите внимание, что это не полный список, а лишь подмножество важных лог-файлов, которые имеют наибольшее значение. Чем больше их будет, тем лучше для здоровья вашего сервера. Ниже приведен необходимый минимум, который вы должны отслеживать в обязательном порядке

/var/log/messages

Что здесь регистрируется?

  • Этот файл журнала содержит общие журналы активности системы.
  • В основном он используется для хранения информационных и некритичных системных сообщений.
  • В системах на базе Debian для этой же цели служит каталог /var/log/syslog.

Как я могу использовать эти журналы?

  • Здесь вы можете отслеживать ошибки загрузки, не связанные с ядром, ошибки служб, связанных с приложениями, и сообщения, которые записываются в журнал при запуске системы.
  • Это первый файл журнала, который администраторы Linux должны проверить, если что-то пошло не так.
  • Например, у вас возникли проблемы со звуковой картой. Чтобы проверить, не произошло ли что-то не так в процессе запуска системы, вы можете посмотреть на сообщения, хранящиеся в этом файле журнала.

/var/log/auth.log

Что здесь регистрируется?

  • Здесь регистрируются все события, связанные с аутентификацией на серверах Debian и Ubuntu.
  • Если вы ищете что-то, связанное с механизмом авторизации пользователей, вы можете найти это в этом файле журнала.

Как я могу использовать эти журналы?

Подозреваете, что на вашем сервере могла быть нарушена безопасность? Заметили подозрительный файл javascript там, где его не должно быть? Если да, то срочно найдите этот лог-файл!

  • Расследование неудачных попыток входа в систему
  • Исследуйте атаки методом грубой силы и другие уязвимости, связанные с механизмом авторизации пользователей.

/var/log/secure

Что здесь регистрируется?

Системы на базе RedHat и CentOS используют этот файл журнала вместо /var/log/auth.log.

  • В основном он используется для отслеживания использования систем авторизации.
  • В нем хранятся все сообщения, связанные с безопасностью, включая сбои аутентификации.
  • Он также отслеживает логины sudo, логины SSH и другие ошибки, регистрируемые демоном системных служб безопасности.

Как я могу использовать эти журналы?

  • Здесь регистрируются все события аутентификации пользователей.
  • Этот файл журнала может предоставить подробную информацию о несанкционированных или неудачных попытках входа в систему.
  • Он может быть очень полезен для обнаружения возможных попыток взлома.
  • Он также хранит информацию об успешных входах и отслеживает действия действительных пользователей.

/var/log/boot.log

Что здесь записывается?

  • Сценарий инициализации системы, /etc/init.d/bootmisc.sh, отправляет все сообщения о загрузке в этот файл журнала.
  • Это хранилище информации, связанной с загрузкой, и сообщений, регистрируемых в процессе запуска системы.

Как я могу использовать эти журналы?

  • Вы должны проанализировать этот файл журнала, чтобы выяснить проблемы, связанные с неправильным выключением, незапланированными перезагрузками или сбоями при загрузке.
  • Он также может быть полезен для определения продолжительности простоя системы, вызванного неожиданным выключением.

/var/log/dmesg

Что здесь регистрируется?

  • Этот файл журнала содержит сообщения кольцевого буфера ядра.
  • Здесь регистрируется информация, связанная с аппаратными устройствами и их драйверами.
  • Когда ядро обнаруживает физические аппаратные устройства, связанные с сервером, во время процесса загрузки, оно фиксирует состояние устройства, ошибки оборудования и другие общие сообщения.

Как я могу использовать эти журналы?

  • Этот файл журнала полезен в основном для клиентов выделенных серверов.
  • Если определенное оборудование работает неправильно или не определяется, вы можете использовать этот файл журнала для устранения неполадок.
  • Или же вы можете приобрести у нас управляемый сервер, и мы будем следить за ним для вас.

/var/log/kern.log

Что здесь регистрируется?

Это очень важный файл журнала, поскольку он содержит информацию, регистрируемую ядром.

Как я могу использовать эти журналы?

  • Идеально подходит для устранения ошибок и предупреждений, связанных с ядром.
  • Журналы ядра могут быть полезны для устранения неполадок в ядре, собранном на заказ.
  • Они также могут пригодиться при отладке аппаратного обеспечения и проблем с подключением.

/var/log/faillog

Что здесь регистрируется?

Этот файл содержит информацию о неудачных попытках входа в систему.

Как я могу использовать эти журналы?

Этот журнал может быть полезен для обнаружения попыток нарушения безопасности, связанных со взломом имени пользователя/пароля и атаками методом грубой силы.

/var/log/cron

Что здесь регистрируется?

В этот файл журнала записывается информация о заданиях cron.

Как я могу использовать эти журналы

  • Каждый раз, когда выполняется задание cron, этот файл журнала записывает всю необходимую информацию, включая успешное выполнение и сообщения об ошибках в случае сбоев.
  • Если у вас возникли проблемы с запланированным cron, вам нужно проверить этот файл журнала.

/var/log/yum.log

Что здесь записывается?

Здесь содержится информация, которая записывается в журнал при установке нового пакета с помощью команды yum.

Как можно использовать эти журналы?

  • Отслеживать установку компонентов системы и пакетов программного обеспечения.
  • Проверьте сообщения в журнале, чтобы узнать, правильно ли был установлен пакет или нет.
  • Помогает устранять неполадки, связанные с установкой программного обеспечения.

Предположим, ваш сервер ведет себя необычно, и вы подозреваете, что причиной этого является недавно установленный пакет программного обеспечения. В таких случаях вы можете проверить этот файл журнала, чтобы выяснить, какие пакеты были установлены в последнее время, и определить неисправную программу.

/var/log/maillog или /var/log/mail.log

Что здесь регистрируется?

Здесь хранятся все журналы, связанные с почтовым сервером.

Как я могу использовать эти журналы?

  • Найти информацию о postfix, smtpd, MailScanner, SpamAssassain или любых других службах, связанных с электронной почтой, работающих на почтовом сервере.
  • Отслеживать все электронные письма, которые были отправлены или получены за определенный период.
  • Расследование проблем с неудачной доставкой почты.
  • Получение информации о возможных попытках рассылки спама, заблокированных почтовым сервером.
  • Отследить происхождение входящего сообщения электронной почты, внимательно изучив этот файл журнала.

/var/log/httpd/

Что здесь записывается?

  • В этом каталоге хранятся журналы, записанные сервером Apache.
  • Информация о логах сервера Apache хранится в двух разных файлах - error_log и access_log.

Как я могу использовать эти журналы?

  • В error_log содержатся сообщения, связанные с ошибками httpd, такими как проблемы с памятью и другие ошибки, связанные с системой.
  • Сюда сервер Apache записывает события и ошибки, возникающие при обработке httpd-запросов.
  • Если что-то идет не так с веб-сервером Apache, проверьте этот журнал для получения диагностической информации.
  • Помимо файла error-log, Apache также ведет отдельный список access_log.
  • Все запросы доступа, полученные по протоколу HTTP, сохраняются в файле access_log.
  • Помогает отслеживать каждую обслуживаемую страницу и каждый файл, загруженный Apache.
  • Записывает IP-адрес и идентификатор пользователя всех клиентов, которые делают запросы на подключение к серверу.
  • Хранит информацию о статусе запросов доступа - был ли ответ отправлен успешно или запрос завершился неудачей.

/var/log/mysqld.log или /var/log/mysql.log

Что здесь регистрируется?

Как следует из названия, это файл журнала MySQL.

  • В этот файл записываются все сообщения об отладке, сбоях и успехах, связанные с работой демонов [mysqld] и [mysqld_safe].
  • RedHat, CentOS и Fedora хранят журналы MySQL в каталоге /var/log/mysqld.log, а Debian и Ubuntu - в каталоге /var/log/mysql.log.

Как я могу использовать этот журнал?

  • Используйте этот журнал для выявления проблем при запуске, работе или остановке mysqld.
  • Получение информации о клиентских соединениях с каталогом данных MySQL
  • Вы также можете установить параметр 'long_query_time' для записи в журнал информации о блокировках запросов и медленно выполняющихся запросах.

Заключение

Хотя мониторинг и анализ всех файлов журналов, генерируемых системой, может оказаться непростой задачей, вы можете воспользоваться централизованным инструментом мониторинга журналов, чтобы упростить этот процесс.

Существует множество вариантов с открытым исходным кодом, если это не по карману. Нет нужды говорить, что отслеживать журналы Linux вручную очень сложно.

Поэтому, если вы хотите использовать действительно проактивный подход к управлению сервером, инвестируйте в централизованную платформу сбора и анализа журналов, которая позволит вам просматривать данные журналов в режиме реального времени и настраивать оповещения, чтобы уведомлять вас о потенциальных угрозах.

Комментарии: 0
Похожие записи
0
16 часов
Индикаторы компрометации

Спам-кампания, направленная на Бразилию, использует инструменты удаленного мониторинга и управления

security
Компания Cisco Talos обнаружила спам-кампанию, нацеленную на бразильских пользователей с использованием коммерческих инструментов удаленного мониторинга и управления (RMM) с начала 2025 года.
0
16 часов
Индикаторы компрометации

Уклонение от обнаружения: злоумышленники используют легитимные платформы для обмена файлами и Ngrok для распространения вредоносного ПО

security
Недавняя почтовая кампания, обнаруженная командой реагирования на инциденты FortiMail, распространяла вредоносное ПО Remote Access Trojan (RAT) с использованием различных методов уклонения, нацеленных