Debian默认会记录的网络活动
| 日志文件 | 典型路径 | 记录的网络活动要点 |
|---|---|---|
| 系统全局日志 | /var/log/syslog(或在某些系统上 /var/log/messages) | 各类网络服务的启动/停止、接口与连接状态变化、网络相关错误与告警 |
| 认证与安全日志 | /var/log/auth.log | SSH 登录/登出、认证成功与失败、sudo 提权与远程访问安全事件 |
| 内核与驱动日志 | /var/log/kern.log、/var/log/dmesg | 网卡驱动加载、链路状态变化、内核网络栈告警与错误 |
| 防火墙日志 | /var/log/iptables.log(或 /var/log/firewalld) | 包过滤/连接跟踪命中、规则触发与拒绝(DROP/REJECT)记录 |
| Web 服务访问 | /var/log/apache2/access.log、/var/log/nginx/access.log | 客户端 IP、请求 URL/方法、响应 状态码、UA 等 |
| Web 服务错误 | /var/log/apache2/error.log、/var/log/nginx/error.log | 后端连接失败、配置错误、超时与内部错误 |
| 邮件服务日志 | /var/log/mail.log | SMTP 收发、队列与投递状态、垃圾/异常投递尝试 |
| 数据库服务日志 | /var/log/mysql/error.log | 连接错误、查询异常、复制与启动失败等 |
| 守护进程日志 | /var/log/daemon.log | 各类网络守护进程(如 sshd、named 等)的运行与错误 |
| APT 变更日志 | /var/log/apt/history.log | 与安全相关的网络组件安装/升级/移除(如 openssh-server、ufw) |
如何快速查看与分析
如何扩展网络日志的可见性