Файлы журналов - это записи, которые Linux хранит для администраторов, чтобы отслеживать и контролировать важные события, связанные с сервером, ядром, службами и приложениями, запущенными на нем. В этом посте мы рассмотрим основные файлы журналов Linux, которые должны отслеживать администраторы серверов.
Что такое журнальные файлы Linux
Файлы журналов - это набор записей, которые Linux ведет для администраторов, чтобы отслеживать важные события. Они содержат сообщения о сервере, включая ядро, службы и приложения, работающие на нем.
Linux предоставляет централизованное хранилище файлов журналов, которые могут быть расположены в каталоге /var/log.
Файлы журналов, генерируемые в среде Linux, обычно можно разделить на четыре различные категории:
- Журналы приложений
- Журналы событий
- Служебные журналы
- Системные журналы
Зачем следить за файлами журналов Linux
Мониторинг журналов является неотъемлемой частью обязанностей любого администратора сервера.
Контролируя файлы журналов Linux, вы можете получить подробную информацию о производительности сервера, безопасности, сообщениях об ошибках и основных проблемах. Если вы хотите использовать проактивный, а не реактивный подход к управлению сервером, регулярный анализ лог-файлов необходим на 100%.
Проще говоря, файлы журналов позволяют вам предвидеть предстоящие проблемы еще до того, как они возникнут.
Какие файлы журналов Linux следует отслеживать
Мониторинг и анализ всех этих файлов может оказаться непростой задачей.
Из-за огромного количества журналов иногда бывает трудно найти нужный файл, содержащий необходимую информацию.
Чтобы немного облегчить вам задачу, мы познакомим вас с некоторыми из наиболее важных файлов журналов Linux, которые вы должны отслеживать.
Пожалуйста, обратите внимание, что это не полный список, а лишь подмножество важных лог-файлов, которые имеют наибольшее значение. Чем больше их будет, тем лучше для здоровья вашего сервера. Ниже приведен необходимый минимум, который вы должны отслеживать в обязательном порядке
/var/log/messages
Что здесь регистрируется?
- Этот файл журнала содержит общие журналы активности системы.
- В основном он используется для хранения информационных и некритичных системных сообщений.
- В системах на базе Debian для этой же цели служит каталог /var/log/syslog.
Как я могу использовать эти журналы?
- Здесь вы можете отслеживать ошибки загрузки, не связанные с ядром, ошибки служб, связанных с приложениями, и сообщения, которые записываются в журнал при запуске системы.
- Это первый файл журнала, который администраторы Linux должны проверить, если что-то пошло не так.
- Например, у вас возникли проблемы со звуковой картой. Чтобы проверить, не произошло ли что-то не так в процессе запуска системы, вы можете посмотреть на сообщения, хранящиеся в этом файле журнала.
/var/log/auth.log
Что здесь регистрируется?
- Здесь регистрируются все события, связанные с аутентификацией на серверах Debian и Ubuntu.
- Если вы ищете что-то, связанное с механизмом авторизации пользователей, вы можете найти это в этом файле журнала.
Как я могу использовать эти журналы?
Подозреваете, что на вашем сервере могла быть нарушена безопасность? Заметили подозрительный файл javascript там, где его не должно быть? Если да, то срочно найдите этот лог-файл!
- Расследование неудачных попыток входа в систему
- Исследуйте атаки методом грубой силы и другие уязвимости, связанные с механизмом авторизации пользователей.
/var/log/secure
Что здесь регистрируется?
Системы на базе RedHat и CentOS используют этот файл журнала вместо /var/log/auth.log.
- В основном он используется для отслеживания использования систем авторизации.
- В нем хранятся все сообщения, связанные с безопасностью, включая сбои аутентификации.
- Он также отслеживает логины sudo, логины SSH и другие ошибки, регистрируемые демоном системных служб безопасности.
Как я могу использовать эти журналы?
- Здесь регистрируются все события аутентификации пользователей.
- Этот файл журнала может предоставить подробную информацию о несанкционированных или неудачных попытках входа в систему.
- Он может быть очень полезен для обнаружения возможных попыток взлома.
- Он также хранит информацию об успешных входах и отслеживает действия действительных пользователей.
/var/log/boot.log
Что здесь записывается?
- Сценарий инициализации системы, /etc/init.d/bootmisc.sh, отправляет все сообщения о загрузке в этот файл журнала.
- Это хранилище информации, связанной с загрузкой, и сообщений, регистрируемых в процессе запуска системы.
Как я могу использовать эти журналы?
- Вы должны проанализировать этот файл журнала, чтобы выяснить проблемы, связанные с неправильным выключением, незапланированными перезагрузками или сбоями при загрузке.
- Он также может быть полезен для определения продолжительности простоя системы, вызванного неожиданным выключением.
/var/log/dmesg
Что здесь регистрируется?
- Этот файл журнала содержит сообщения кольцевого буфера ядра.
- Здесь регистрируется информация, связанная с аппаратными устройствами и их драйверами.
- Когда ядро обнаруживает физические аппаратные устройства, связанные с сервером, во время процесса загрузки, оно фиксирует состояние устройства, ошибки оборудования и другие общие сообщения.
Как я могу использовать эти журналы?
- Этот файл журнала полезен в основном для клиентов выделенных серверов.
- Если определенное оборудование работает неправильно или не определяется, вы можете использовать этот файл журнала для устранения неполадок.
- Или же вы можете приобрести у нас управляемый сервер, и мы будем следить за ним для вас.
/var/log/kern.log
Что здесь регистрируется?
Это очень важный файл журнала, поскольку он содержит информацию, регистрируемую ядром.
Как я могу использовать эти журналы?
- Идеально подходит для устранения ошибок и предупреждений, связанных с ядром.
- Журналы ядра могут быть полезны для устранения неполадок в ядре, собранном на заказ.
- Они также могут пригодиться при отладке аппаратного обеспечения и проблем с подключением.
/var/log/faillog
Что здесь регистрируется?
Этот файл содержит информацию о неудачных попытках входа в систему.
Как я могу использовать эти журналы?
Этот журнал может быть полезен для обнаружения попыток нарушения безопасности, связанных со взломом имени пользователя/пароля и атаками методом грубой силы.
/var/log/cron
Что здесь регистрируется?
В этот файл журнала записывается информация о заданиях cron.
Как я могу использовать эти журналы
- Каждый раз, когда выполняется задание cron, этот файл журнала записывает всю необходимую информацию, включая успешное выполнение и сообщения об ошибках в случае сбоев.
- Если у вас возникли проблемы с запланированным cron, вам нужно проверить этот файл журнала.
/var/log/yum.log
Что здесь записывается?
Здесь содержится информация, которая записывается в журнал при установке нового пакета с помощью команды yum.
Как можно использовать эти журналы?
- Отслеживать установку компонентов системы и пакетов программного обеспечения.
- Проверьте сообщения в журнале, чтобы узнать, правильно ли был установлен пакет или нет.
- Помогает устранять неполадки, связанные с установкой программного обеспечения.
Предположим, ваш сервер ведет себя необычно, и вы подозреваете, что причиной этого является недавно установленный пакет программного обеспечения. В таких случаях вы можете проверить этот файл журнала, чтобы выяснить, какие пакеты были установлены в последнее время, и определить неисправную программу.
/var/log/maillog или /var/log/mail.log
Что здесь регистрируется?
Здесь хранятся все журналы, связанные с почтовым сервером.
Как я могу использовать эти журналы?
- Найти информацию о postfix, smtpd, MailScanner, SpamAssassain или любых других службах, связанных с электронной почтой, работающих на почтовом сервере.
- Отслеживать все электронные письма, которые были отправлены или получены за определенный период.
- Расследование проблем с неудачной доставкой почты.
- Получение информации о возможных попытках рассылки спама, заблокированных почтовым сервером.
- Отследить происхождение входящего сообщения электронной почты, внимательно изучив этот файл журнала.
/var/log/httpd/
Что здесь записывается?
- В этом каталоге хранятся журналы, записанные сервером Apache.
- Информация о логах сервера Apache хранится в двух разных файлах - error_log и access_log.
Как я могу использовать эти журналы?
- В error_log содержатся сообщения, связанные с ошибками httpd, такими как проблемы с памятью и другие ошибки, связанные с системой.
- Сюда сервер Apache записывает события и ошибки, возникающие при обработке httpd-запросов.
- Если что-то идет не так с веб-сервером Apache, проверьте этот журнал для получения диагностической информации.
- Помимо файла error-log, Apache также ведет отдельный список access_log.
- Все запросы доступа, полученные по протоколу HTTP, сохраняются в файле access_log.
- Помогает отслеживать каждую обслуживаемую страницу и каждый файл, загруженный Apache.
- Записывает IP-адрес и идентификатор пользователя всех клиентов, которые делают запросы на подключение к серверу.
- Хранит информацию о статусе запросов доступа - был ли ответ отправлен успешно или запрос завершился неудачей.
/var/log/mysqld.log или /var/log/mysql.log
Что здесь регистрируется?
Как следует из названия, это файл журнала MySQL.
- В этот файл записываются все сообщения об отладке, сбоях и успехах, связанные с работой демонов [mysqld] и [mysqld_safe].
- RedHat, CentOS и Fedora хранят журналы MySQL в каталоге /var/log/mysqld.log, а Debian и Ubuntu - в каталоге /var/log/mysql.log.
Как я могу использовать этот журнал?
- Используйте этот журнал для выявления проблем при запуске, работе или остановке mysqld.
- Получение информации о клиентских соединениях с каталогом данных MySQL
- Вы также можете установить параметр 'long_query_time' для записи в журнал информации о блокировках запросов и медленно выполняющихся запросах.
Заключение
Хотя мониторинг и анализ всех файлов журналов, генерируемых системой, может оказаться непростой задачей, вы можете воспользоваться централизованным инструментом мониторинга журналов, чтобы упростить этот процесс.
Существует множество вариантов с открытым исходным кодом, если это не по карману. Нет нужды говорить, что отслеживать журналы Linux вручную очень сложно.
Поэтому, если вы хотите использовать действительно проактивный подход к управлению сервером, инвестируйте в централизованную платформу сбора и анализа журналов, которая позволит вам просматривать данные журналов в режиме реального времени и настраивать оповещения, чтобы уведомлять вас о потенциальных угрозах.