Ubuntu日志中的重要提示清单
一 核心日志文件与关键提示
| 日志文件 | 关键提示关键词 | 典型用途 |
|---|---|---|
| /var/log/auth.log | Failed password、Accepted password、session opened/closed、sudo | 发现SSH暴力破解、异常登录、权限提升 |
| /var/log/syslog | error、fail、critical、服务重启/崩溃 | 系统级异常、守护进程故障、启动/关机过程 |
| journald(journalctl) | 优先级:err、crit;单元:-u ssh;时间:–since/–until | 按服务/时间/级别快速定位故障 |
| /var/log/kern.log | error、I/O error、驱动报错 | 内核与驱动问题、硬件层告警 |
| /var/log/dmesg | error、panic、外设初始化失败 | 开机自检、硬件故障、内核环形缓冲 |
| /var/log/faillog | 用户失败计数、最近失败时间 | 账户被暴力尝试的量化统计 |
| /var/log/lastlog | 最近登录时间(用 lastlog 命令查看) | 账户最近活跃度核对 |
| /var/log/wtmp | 登录/注销记录(用 last 命令查看) | 历史会话审计 |
| /var/log/ufw.log | 被拒连接(DENIED) | 防火墙拦截与可疑访问 |
| /var/log/apt/、/var/log/dpkg.log | upgrade/install/remove、依赖错误 | 软件安装/升级失败、回滚原因 |
| /var/log/apport.log | crash、段错误 | 应用崩溃取证与复现线索 |
| /var/log/nginx/access.log、/var/log/apache2/access.log | 4xx/5xx、异常 User-Agent、SQL 注入特征 | Web 攻击与异常流量识别 |
| /var/log/audit/audit.log(需安装 auditd) | USER_CMD、USER_AUTH、文件访问 | 细粒度命令/文件访问审计 |
| 以上文件与提示词覆盖了认证安全、系统运行、内核硬件、软件变更与Web访问等核心维度,是日常巡检与应急响应的重点。 |
二 高频危险信号与处置要点
三 快速排查命令与定位路径
四 长期监控与加固建议