12 важнейших файлов журналов Linux, которые вы должны контролировать

Linux Articles

Файлы журналов - это записи, которые Linux хранит для администраторов, чтобы отслеживать и контролировать важные события, связанные с сервером, ядром, службами и приложениями, запущенными на нем. В этом посте мы рассмотрим основные файлы журналов Linux, которые должны отслеживать администраторы серверов.

Table of Contents

Что такое журнальные файлы Linux

Файлы журналов - это набор записей, которые Linux ведет для администраторов, чтобы отслеживать важные события. Они содержат сообщения о сервере, включая ядро, службы и приложения, работающие на нем.

Linux предоставляет централизованное хранилище файлов журналов, которые могут быть расположены в каталоге /var/log.

Файлы журналов, генерируемые в среде Linux, обычно можно разделить на четыре различные категории:

  • Журналы приложений
  • Журналы событий
  • Служебные журналы
  • Системные журналы

Зачем следить за файлами журналов Linux

Мониторинг журналов является неотъемлемой частью обязанностей любого администратора сервера.

Контролируя файлы журналов Linux, вы можете получить подробную информацию о производительности сервера, безопасности, сообщениях об ошибках и основных проблемах. Если вы хотите использовать проактивный, а не реактивный подход к управлению сервером, регулярный анализ лог-файлов необходим на 100%.

Проще говоря, файлы журналов позволяют вам предвидеть предстоящие проблемы еще до того, как они возникнут.

Какие файлы журналов Linux следует отслеживать

Мониторинг и анализ всех этих файлов может оказаться непростой задачей.

Из-за огромного количества журналов иногда бывает трудно найти нужный файл, содержащий необходимую информацию.

Чтобы немного облегчить вам задачу, мы познакомим вас с некоторыми из наиболее важных файлов журналов Linux, которые вы должны отслеживать.

Пожалуйста, обратите внимание, что это не полный список, а лишь подмножество важных лог-файлов, которые имеют наибольшее значение. Чем больше их будет, тем лучше для здоровья вашего сервера. Ниже приведен необходимый минимум, который вы должны отслеживать в обязательном порядке

/var/log/messages

Что здесь регистрируется?

  • Этот файл журнала содержит общие журналы активности системы.
  • В основном он используется для хранения информационных и некритичных системных сообщений.
  • В системах на базе Debian для этой же цели служит каталог /var/log/syslog.

Как я могу использовать эти журналы?

  • Здесь вы можете отслеживать ошибки загрузки, не связанные с ядром, ошибки служб, связанных с приложениями, и сообщения, которые записываются в журнал при запуске системы.
  • Это первый файл журнала, который администраторы Linux должны проверить, если что-то пошло не так.
  • Например, у вас возникли проблемы со звуковой картой. Чтобы проверить, не произошло ли что-то не так в процессе запуска системы, вы можете посмотреть на сообщения, хранящиеся в этом файле журнала.

/var/log/auth.log

Что здесь регистрируется?

  • Здесь регистрируются все события, связанные с аутентификацией на серверах Debian и Ubuntu.
  • Если вы ищете что-то, связанное с механизмом авторизации пользователей, вы можете найти это в этом файле журнала.

Как я могу использовать эти журналы?

Подозреваете, что на вашем сервере могла быть нарушена безопасность? Заметили подозрительный файл javascript там, где его не должно быть? Если да, то срочно найдите этот лог-файл!

  • Расследование неудачных попыток входа в систему
  • Исследуйте атаки методом грубой силы и другие уязвимости, связанные с механизмом авторизации пользователей.

/var/log/secure

Что здесь регистрируется?

Системы на базе RedHat и CentOS используют этот файл журнала вместо /var/log/auth.log.

  • В основном он используется для отслеживания использования систем авторизации.
  • В нем хранятся все сообщения, связанные с безопасностью, включая сбои аутентификации.
  • Он также отслеживает логины sudo, логины SSH и другие ошибки, регистрируемые демоном системных служб безопасности.

Как я могу использовать эти журналы?

  • Здесь регистрируются все события аутентификации пользователей.
  • Этот файл журнала может предоставить подробную информацию о несанкционированных или неудачных попытках входа в систему.
  • Он может быть очень полезен для обнаружения возможных попыток взлома.
  • Он также хранит информацию об успешных входах и отслеживает действия действительных пользователей.

/var/log/boot.log

Что здесь записывается?

  • Сценарий инициализации системы, /etc/init.d/bootmisc.sh, отправляет все сообщения о загрузке в этот файл журнала.
  • Это хранилище информации, связанной с загрузкой, и сообщений, регистрируемых в процессе запуска системы.

Как я могу использовать эти журналы?

  • Вы должны проанализировать этот файл журнала, чтобы выяснить проблемы, связанные с неправильным выключением, незапланированными перезагрузками или сбоями при загрузке.
  • Он также может быть полезен для определения продолжительности простоя системы, вызванного неожиданным выключением.

/var/log/dmesg

Что здесь регистрируется?

  • Этот файл журнала содержит сообщения кольцевого буфера ядра.
  • Здесь регистрируется информация, связанная с аппаратными устройствами и их драйверами.
  • Когда ядро обнаруживает физические аппаратные устройства, связанные с сервером, во время процесса загрузки, оно фиксирует состояние устройства, ошибки оборудования и другие общие сообщения.

Как я могу использовать эти журналы?

  • Этот файл журнала полезен в основном для клиентов выделенных серверов.
  • Если определенное оборудование работает неправильно или не определяется, вы можете использовать этот файл журнала для устранения неполадок.
  • Или же вы можете приобрести у нас управляемый сервер, и мы будем следить за ним для вас.

/var/log/kern.log

Что здесь регистрируется?

Это очень важный файл журнала, поскольку он содержит информацию, регистрируемую ядром.

Как я могу использовать эти журналы?

  • Идеально подходит для устранения ошибок и предупреждений, связанных с ядром.
  • Журналы ядра могут быть полезны для устранения неполадок в ядре, собранном на заказ.
  • Они также могут пригодиться при отладке аппаратного обеспечения и проблем с подключением.

/var/log/faillog

Что здесь регистрируется?

Этот файл содержит информацию о неудачных попытках входа в систему.

Как я могу использовать эти журналы?

Этот журнал может быть полезен для обнаружения попыток нарушения безопасности, связанных со взломом имени пользователя/пароля и атаками методом грубой силы.

/var/log/cron

Что здесь регистрируется?

В этот файл журнала записывается информация о заданиях cron.

Как я могу использовать эти журналы

  • Каждый раз, когда выполняется задание cron, этот файл журнала записывает всю необходимую информацию, включая успешное выполнение и сообщения об ошибках в случае сбоев.
  • Если у вас возникли проблемы с запланированным cron, вам нужно проверить этот файл журнала.

/var/log/yum.log

Что здесь записывается?

Здесь содержится информация, которая записывается в журнал при установке нового пакета с помощью команды yum.

Как можно использовать эти журналы?

  • Отслеживать установку компонентов системы и пакетов программного обеспечения.
  • Проверьте сообщения в журнале, чтобы узнать, правильно ли был установлен пакет или нет.
  • Помогает устранять неполадки, связанные с установкой программного обеспечения.

Предположим, ваш сервер ведет себя необычно, и вы подозреваете, что причиной этого является недавно установленный пакет программного обеспечения. В таких случаях вы можете проверить этот файл журнала, чтобы выяснить, какие пакеты были установлены в последнее время, и определить неисправную программу.

/var/log/maillog или /var/log/mail.log

Что здесь регистрируется?

Здесь хранятся все журналы, связанные с почтовым сервером.

Как я могу использовать эти журналы?

  • Найти информацию о postfix, smtpd, MailScanner, SpamAssassain или любых других службах, связанных с электронной почтой, работающих на почтовом сервере.
  • Отслеживать все электронные письма, которые были отправлены или получены за определенный период.
  • Расследование проблем с неудачной доставкой почты.
  • Получение информации о возможных попытках рассылки спама, заблокированных почтовым сервером.
  • Отследить происхождение входящего сообщения электронной почты, внимательно изучив этот файл журнала.

/var/log/httpd/

Что здесь записывается?

  • В этом каталоге хранятся журналы, записанные сервером Apache.
  • Информация о логах сервера Apache хранится в двух разных файлах - error_log и access_log.

Как я могу использовать эти журналы?

  • В error_log содержатся сообщения, связанные с ошибками httpd, такими как проблемы с памятью и другие ошибки, связанные с системой.
  • Сюда сервер Apache записывает события и ошибки, возникающие при обработке httpd-запросов.
  • Если что-то идет не так с веб-сервером Apache, проверьте этот журнал для получения диагностической информации.
  • Помимо файла error-log, Apache также ведет отдельный список access_log.
  • Все запросы доступа, полученные по протоколу HTTP, сохраняются в файле access_log.
  • Помогает отслеживать каждую обслуживаемую страницу и каждый файл, загруженный Apache.
  • Записывает IP-адрес и идентификатор пользователя всех клиентов, которые делают запросы на подключение к серверу.
  • Хранит информацию о статусе запросов доступа - был ли ответ отправлен успешно или запрос завершился неудачей.

/var/log/mysqld.log или /var/log/mysql.log

Что здесь регистрируется?

Как следует из названия, это файл журнала MySQL.

  • В этот файл записываются все сообщения об отладке, сбоях и успехах, связанные с работой демонов [mysqld] и [mysqld_safe].
  • RedHat, CentOS и Fedora хранят журналы MySQL в каталоге /var/log/mysqld.log, а Debian и Ubuntu - в каталоге /var/log/mysql.log.

Как я могу использовать этот журнал?

  • Используйте этот журнал для выявления проблем при запуске, работе или остановке mysqld.
  • Получение информации о клиентских соединениях с каталогом данных MySQL
  • Вы также можете установить параметр 'long_query_time' для записи в журнал информации о блокировках запросов и медленно выполняющихся запросах.

Заключение

Хотя мониторинг и анализ всех файлов журналов, генерируемых системой, может оказаться непростой задачей, вы можете воспользоваться централизованным инструментом мониторинга журналов, чтобы упростить этот процесс.

Существует множество вариантов с открытым исходным кодом, если это не по карману. Нет нужды говорить, что отслеживать журналы Linux вручную очень сложно.

Поэтому, если вы хотите использовать действительно проактивный подход к управлению сервером, инвестируйте в централизованную платформу сбора и анализа журналов, которая позволит вам просматривать данные журналов в режиме реального времени и настраивать оповещения, чтобы уведомлять вас о потенциальных угрозах.

Avatar for Gnostis
Gnostis
SEC-1275-1
Добавить комментарий