Debian LAMP日志分析技巧

一、日志文件位置

• 系统日志：/var/log/syslog 或 /var/log/messages。
• 服务日志：
  • Apache：/var/log/apache2/access.log（访问）、/var/log/apache2/error.log（错误）。
  • Nginx：/var/log/nginx/access.log（访问）、/var/log/nginx/error.log（错误）。
  • MySQL：/var/log/mysql/error.log（错误）、/var/log/mysql/slow.log（慢查询）。
  • PHP：/var/log/php_errors.log 或 /var/log/php-fpm.log。

二、常用命令行工具

• 基础查看：cat（查看全部）、tail -f（实时跟踪）、less（分页查看）。
• 过滤搜索：grep "关键字" /path/to/log（如 grep "error" /var/log/syslog）。
• 文本处理：awk（提取字段）、sort/uniq -c（排序去重，如统计IP访问次数）。
• 日志轮转：logrotate（自动分割压缩旧日志，配置文件 /etc/logrotate.conf）。

三、图形界面工具

• 系统日志查看：gnome-system-log（GNOME桌面）或 ksystemlog（KDE桌面）。
• 专业日志分析：GoAccess（Web日志实时分析，生成可视化报告）。

四、分析技巧

• 定位关键信息：通过时间戳、进程ID、日志级别（如ERROR/WARN）快速筛选重要事件。
• 服务关联分析：结合应用日志（如Apache）与系统日志，排查服务异常（如500错误对应PHP报错）。
• 安全威胁检测：分析访问日志中的异常请求（如SQL注入关键词UNION、SELECT）。
• 性能优化：通过慢查询日志（MySQL）和系统资源监控（top/htop）定位性能瓶颈。

五、自动化与集中管理

• 日志收集：使用 Logstash + Elasticsearch + Kibana（ELK Stack）构建集中式日志分析平台。
• 实时告警：通过 Graylog 或 Zabbix 配置日志异常告警规则。

六、注意事项

• 权限控制：确保日志文件权限为 644，敏感信息需脱敏。
• 定期清理：通过 logrotate 避免日志文件过大占用磁盘空间。

参考来源：[1,2,3,4,5,6,7,8,9,10,12,13,14]