來源:SRETalk 轉自:高效運維
在監控領域,通常最應該監控的是業務的北極星指標、應用的RED指標,因為這些指標直接關聯業務營收和使用者體驗。對於下層的機器類指標、日誌等,通常也會配置告警規則,但是級別通常比較低,這類告警的核心價值相當於提前從紛繁複雜的指標、日誌資料中提取了一些重點資訊,幫助我們在故障時優先讀取這些少量的有價值的資訊,提升故障定位效率。
系統日誌是最基礎的監控資料,Linux 系統日誌檔案通常儲存在 /var/log 目錄下,不同的日誌檔案記錄了不同的資訊,本文會羅列一些常見的 Linux 日誌檔案,以及它們的作用。幫你查漏補缺。
1、/var/log/syslog 或 /var/log/messages
系統日誌檔案捕獲廣泛的系統訊息,包括來自各種守護程序、系統程序和核心訊息的訊息。它們作為系統活動的綜合記錄。
對於一般的 Linux 日誌分析至關重要,因為它們包含有關係統錯誤、警告和其他重要事件的資訊(常見的,比如 OOM 的日誌)。這些日誌有助於診斷影響系統穩定性和效能的問題。
2、/var/log/auth.log 或 /var/log/secure
auth.log或 secure 日誌記錄認證相關的事件,例如成功和失敗的登入嘗試、使用者許可權更改和其他身份驗證機制。對於識別未經授權的訪問嘗試和潛在的安全漏洞至關重要。透過此日誌我們可以瞭解到誰訪問系統以及何時訪問系統。透過 grep “Failed password” /var/log/auth.log 可以檢視登入失敗的記錄,那自然也可以把
Failed password作為關鍵詞配置告警規則。3、/var/log/kern.log
kern.log 包含了 Linux 核心訊息。它包括有關硬體事件、驅動程式訊息和其他核心相關活動的資訊。核心日誌對於診斷與硬體和驅動程式相關的問題至關重要,這對於系統穩定性和效能至關重要。
當然,也可以透過 dmesg 命令檢視核心日誌,比如
dmesg -T | grep -i error可以檢視核心錯誤。同樣的,也可以把 error作為關鍵詞配置告警規則。4、/var/log/boot.log
boot.log 記錄與系統啟動過程相關的事件,包括啟動的服務及其狀態。此日誌對於排查啟動問題至關重要。它有助於識別啟動失敗的服務、啟動過程的延遲以及其他與啟動相關的問題。
比如使用 less /var/log/boot.log 瀏覽這個檔案,查詢標有“FAILED”或“ERROR”的行,以找出啟動失敗的服務。
5、/var/log/dmesg
dmesg 日誌包含來自核心 ring buffer 的訊息,其中包括有關硬體元件、驅動程式和核心初始化的資訊。此日誌對於硬體診斷和監控系統性能很有價值。它有助於識別硬體故障和效能瓶頸。
6、/var/log/cron
cron 日誌記錄的是計劃任務的執行情況。有助於診斷任務排程和執行方面的問題。
7、/var/log/maillog 或 /var/log/mail.log
Mailog 或 mail.log 捕獲與郵件伺服器活動相關的事件,包括電子郵件投放和錯誤。監控郵件日誌對於郵件伺服器管理和解決電子郵件投遞問題至關重要。它們有助於確保組織內外的可靠通訊。
使用
tail -f /var/log/maillog檢查郵件日誌,查詢包含“error”或“failed”的行以識別問題。8、/var/log/httpd/access.log 或 /var/log/apache2/access.log
此日誌記錄對 Web 伺服器的所有訪問請求,包括 IP 地址、請求型別和響應狀態等詳細資訊。訪問日誌對於監控 Web 流量和識別潛在安全威脅至關重要。它們提供對訪問者行為的洞察,並有助於最佳化網站效能。
9、/var/log/httpd/error.log 或 /var/log/apache2/error.log
此日誌捕獲 Apache Web 伺服器遇到的錯誤,包括 Apache 伺服器配置問題、應用程式錯誤和客戶端相關問題。錯誤日誌對於診斷 Web 伺服器及其上執行的應用程式的問題至關重要。它們有助於確保網站和 Web 服務的順利執行。
10、/var/log/NGINX/access.log
此日誌記錄對 NGINX Web 伺服器的所有訪問請求,包括 IP 地址、請求方法、響應狀態和使用者代理等詳細資訊。監控 NGINX 訪問日誌對於瞭解 Web 流量和使用者行為以及識別潛在的安全威脅(如 DDoS 攻擊或未經授權的訪問嘗試)至關重要。
使用
tail -f /var/log/NGINX/access.log即時監控訪問,分析這些日誌有助於最佳化Web效能和改進安全措施,像 goaccess 這樣的工具可以提供即時Web日誌分析和視覺化報告。11、/var/log/NGINX/error.log
此日誌捕獲 NGINX Web 伺服器遇到的錯誤,包括配置問題、伺服器錯誤和與客戶端相關的問題。錯誤日誌對於診斷Web伺服器及其託管的應用程式的問題至關重要。它們透過提供對問題所在和時間的見解來幫助確保您的網站和Web服務的順利執行。
12、/var/log/mysql.log 或 /var/log/mysql/error.log
此日誌記錄與MySQL資料庫伺服器相關的活動和錯誤,包括查詢、連線和效能問題。監控MySQL日誌對於資料庫管理、故障排除問題和確保高效的資料庫操作至關重要。
13、/var/log/ufw.log
ufw.log記錄與簡單防火牆(UFW)相關的事件,包括允許和拒絕的連線嘗試。防火牆日誌對於監控網路安全和檢測未經授權的訪問嘗試至關重要。它們有助於維護安全的網路環境。透過 tail 等命令檢視 UFW 日誌,比如查詢來自同一IP的重複拒絕嘗試,這可能表明存在安全威脅。定期審查有助於確保防火牆規則有效。
14、/var/log/audit/audit.log
審計日誌包含來自審計守護程式的詳細記錄,捕獲廣泛的系統事件以用於安全審計和合規性目的。審計日誌對於詳細的安全分析和遵守法規至關重要。它們提供了系統活動和更改的全面檢視。
使用
aussearch 和 auReport工具從審計日誌中搜索和生成報告。定期審計有助於確保系統安全和符合策略。15、/var/log/daemon.log
守護程序日誌記錄來自系統守護程序的訊息,這些守護程序是系統上執行的後臺服務。守護程式日誌對於監控後臺服務的執行狀況和效能至關重要。它們有助於解決服務操作問題。
16、/var/log/btmp
Btmp 日誌記錄失敗的登入嘗試,提供未經授權的訪問嘗試的記錄。Btmp對於安全監控至關重要。它有助於檢測和響應未經授權的訪問嘗試,增強系統安全性。
使用
lastb命令檢視失敗的登入嘗試。17、/var/log/wtmp
wtmp 日誌記錄登入和登出事件,跟蹤系統上的使用者活動。wtmp 對於跟蹤使用者行為和了解系統使用模式很重要。它有助於稽核使用者活動和檢測異常。
使用
last命令檢視登入歷史記錄。分析模式以確保使用者遵循預期行為並檢測任何可疑活動。官方站點:www.linuxprobe.com
Linux命令大全:www.linuxcool.com
劉遄老師QQ:5604215
Linux技術交流群:2636170
(新群,火熱加群中……)
想要學習Linux系統的讀者可以點選"閱讀原文"按鈕來了解書籍《Linux就該這麼學》,同時也非常適合專業的運維人員閱讀,成為輔助您工作的高價值工具書!
