CentOS FetchLinux日志分析
小樊
42
2025-09-10 02:46:57
一、日志文件位置
- 系统日志:
/var/log/messages(系统通用日志)、/var/log/syslog(部分系统配置)、/var/log/secure(安全认证日志,如SSH登录)。
- 服务日志:需根据具体服务确定路径,例如Apache的
/var/log/httpd/、MySQL的/var/log/mysql/。
- 内核日志:
/var/log/kern.log或通过dmesg命令查看。
二、常用分析工具
- 基础命令:
cat/less/more:查看日志内容,支持分页。
tail -f:实时跟踪日志更新,适合监控实时事件。
grep:按关键词过滤日志,如grep "error" /var/log/syslog。
awk:提取特定字段,如统计IP访问次数awk '{print $1}' access.log | sort | uniq -c。
- 系统工具:
journalctl:查看systemd管理的日志,支持按服务(-u 服务名)、时间范围过滤。
logrotate:自动轮转日志,避免文件过大。
三、典型分析场景
- 故障排查:
- 服务异常:通过
journalctl -u 服务名查看服务相关日志,定位错误信息。
- 系统崩溃:检查
/var/log/messages或dmesg中的内核错误。
- 安全审计:
- 暴力破解检测:分析
/var/log/secure中SSH登录失败记录,统计高频IP。
- 异常登录:通过
last/lastlog查看用户登录记录,识别未授权访问。
四、注意事项
- 权限管理:敏感日志(如
/var/log/secure)需限制访问权限,使用chmod 600设置。
- 日志清理:定期用
logrotate或手动删除旧日志,避免占用磁盘空间。