CentOS日志中隐藏的信息

定位与查看被隐藏的日志

• 使用 journalctl 的扩展输出与字段检索，能看到默认视图不显示或被截断的内容：
  • 显示完整内容（含不可打印字符）：journalctl -a
  • 查看本次启动：journalctl -b；查看上次启动：journalctl -b -1
  • 按时间窗口：journalctl --since "2025-12-15 00:00:00" --until "2025-12-15 12:00:00"
  • 按服务过滤：journalctl -u nginx.service -f
  • 按优先级过滤：journalctl -p err -b
  • 显示全部结构化字段：journalctl -o verbose；或导出为 JSON 便于工具解析：journalctl -o json-pretty
  • 若发现早期启动日志缺失，启用持久化存储：编辑 /etc/systemd/journald.conf，设置 Storage=persistent，然后重启或执行 systemctl restart systemd-journald。

传统文件型日志的盲区与查看

• 部分日志并不进入 journal，或仅以轮转文件存在，需直接查看 /var/log/ 下的文件：
  • 安全审计：/var/log/secure（SSH 登录、sudo 等）
  • 系统综合：/var/log/messages、部分系统为 /var/log/syslog
  • 计划任务：/var/log/cron
  • 邮件服务：/var/log/maillog
  • 内核环缓冲：/var/log/dmesg
  • Web 服务：/var/log/httpd/access_log、/var/log/httpd/error_log
  • 数据库：/var/log/mysql/error.log
• 建议配合 grep -n、awk、sed 做字段提取与统计，例如快速定位错误、按时间或 IP 聚合分析。

常见“看不见”的信息与提取方法

• 登录与会话
  • 登录成功/失败、来源 IP、用户名：在 /var/log/secure 中检索关键字（如 Failed、Accepted），再用 awk 提取 IP、用户、时间，按 IP 计数识别暴力尝试。
• 服务启动与崩溃
  • 某服务反复重启或启动失败：用 journalctl -u <service> -b --no-pager 查看完整输出；必要时用 -o verbose 查看内部字段（如 _PID、_UID、_COMM）。
• 内核与硬件
  • 驱动加载、硬件异常：查看 /var/log/dmesg；若系统配置了持久化 journal，也可用 journalctl -k -b -1 回溯上次启动的内核日志。
• 历史启动与引导
  • 列出所有引导会话：journalctl --list-boots；对比多次启动的日志差异，定位“只在某次启动出现”的问题。
• 被轮转或压缩的旧日志
  • 按时间窗口检索历史归档：zgrep "error" /var/log/messages-202512*.gz；结合 logrotate 配置确认保留周期与路径。

快速排查清单

• 启用并检查持久化：grep ^Storage /etc/systemd/journald.conf 应为 Storage=persistent；执行 journalctl --disk-usage 观察占用。
• 全量回溯最近一次异常时段：journalctl --since "2025-12-15 10:00:00" --until "2025-12-15 11:00:00" -p err -b
• 服务维度定位：journalctl -u nginx.service -b -o verbose | less
• 安全维度定位：grep -E "Failed|Accepted" /var/log/secure | awk '{print $1,$2,$3,$9,$11}' | sort | uniq -c | sort -nr
• 清理与保留策略：按需执行 journalctl --vacuum-time=30d 或 --vacuum-size=1G；同时校验 /etc/logrotate.d/ 下各日志的轮转与压缩策略。