CentOS FetchLinux日志分析

一、日志文件位置

• 系统日志：/var/log/messages（系统通用日志）、/var/log/syslog（部分系统配置）、/var/log/secure（安全认证日志，如SSH登录）。
• 服务日志：需根据具体服务确定路径，例如Apache的/var/log/httpd/、MySQL的/var/log/mysql/。
• 内核日志：/var/log/kern.log或通过dmesg命令查看。

二、常用分析工具

• 基础命令：
  • cat/less/more：查看日志内容，支持分页。
  • tail -f：实时跟踪日志更新，适合监控实时事件。
  • grep：按关键词过滤日志，如grep "error" /var/log/syslog。
  • awk：提取特定字段，如统计IP访问次数awk '{print $1}' access.log | sort | uniq -c。
• 系统工具：
  • journalctl：查看systemd管理的日志，支持按服务（-u 服务名）、时间范围过滤。
  • logrotate：自动轮转日志，避免文件过大。

三、典型分析场景

• 故障排查：
  • 服务异常：通过journalctl -u 服务名查看服务相关日志，定位错误信息。
  • 系统崩溃：检查/var/log/messages或dmesg中的内核错误。
• 安全审计：
  • 暴力破解检测：分析/var/log/secure中SSH登录失败记录，统计高频IP。
  • 异常登录：通过last/lastlog查看用户登录记录，识别未授权访问。

四、注意事项

• 权限管理：敏感日志（如/var/log/secure）需限制访问权限，使用chmod 600设置。
• 日志清理：定期用logrotate或手动删除旧日志，避免占用磁盘空间。