CentOS Context下的日志分析技巧

一、日志文件位置

CentOS日志主要存放在/var/log目录，常见文件包括：

• 系统日志：/var/log/messages
• 安全日志：/var/log/secure
• 启动日志：/var/log/boot.log
• 应用日志：如/var/log/httpd/（Web服务）、/var/log/mysql/（数据库）

二、常用分析命令

1. 基础查看
   • journalctl：查看systemd日志，支持按服务（-u）、时间段（--since/--until）过滤。
   • tail -f：实时查看日志末尾内容，适合监控实时日志。
2. 文本搜索
   • grep "关键字" 文件：搜索特定关键词，如grep "ERROR" /var/log/messages。
   • grep -E "正则表达式"：支持正则匹配多个关键词。
3. 文本处理
   • awk：提取特定字段，如awk '{print $1,$3}' /var/log/messages。
   • sed：替换或删除文本，如sed 's/old/new/g' /var/log/messages。

三、高级分析技巧

1. 日志轮转管理：使用logrotate工具自动清理旧日志，避免磁盘占满。
2. 实时监控与告警：结合inotifywait监控日志变化，或通过Nagios等工具设置异常告警。
3. 安全事件分析：通过/var/log/audit/audit.log分析系统调用、文件访问等行为，识别潜在入侵。

四、工具推荐

• ELK Stack：用于大规模日志的集中分析，支持可视化。
• Splunk：企业级日志管理工具，提供强大的搜索和告警功能。