Debian日志中异常记录处理流程
一 定位与确认异常
二 常见异常场景与快速处置
| 场景 | 快速定位 | 处置要点 |
|---|---|---|
| SSH暴力登录 | /var/log/auth.log 中出现大量 Failed password、Connection closed by authenticating user | 立即限制来源 IP(如防火墙/安全组)、临时禁用密码登录并改用密钥、审查 /etc/ssh/sshd_config(如 MaxAuthTries、PermitRootLogin)、更改受影响账户口令 |
| 服务启动失败 | journalctl -u 服务名、/var/log/服务/error.log | 查看单元状态与最近错误、核对配置与依赖、回滚最近变更、必要时重启服务 |
| 磁盘写满导致日志中断 | df -h /var/log、du -sh /var/log/ | 清理旧日志(如 /var/log/*.gz)、检查 logrotate 是否正常、扩容分区或迁移日志目录 |
| 内核/驱动异常 | dmesg、/var/log/kern.log | 关注 OOM、I/O 错误、驱动加载失败;按提示更新驱动/内核或调整参数 |
| Web/数据库错误 | /var/log/apache2/error.log、/var/log/mysql/error.log | 针对报错定位到具体请求/SQL、检查权限与资源、回滚变更或优化配置 |
| 应用自身异常(Node.js 等) | 应用日志、未捕获异常 | 增加 try/catch、监听 uncaughtException/unhandledRejection、使用 Winston/Pino 记录、接入 Sentry 等 APM 告警 |
| 以上场景与处置要点可结合日志路径与命令快速落地,必要时联动监控与告警。 |
三 持续监控与告警
四 日志系统与配置的健康检查
五 处置闭环与加固建议