系统日志分析软件,如何分析系统日志

  系统日志分析软件,如何分析系统日志

  四案例4:系统日志分析4.1问题本例要求熟悉Linux操作系统操作系统系统中常见日志文件,使用必要的命令工具完成下列任务:

  列出所有包含关键词8909的系统日志消息查看启动时识别的鼠标设备信息列出最近2条成功/不成功的用户登录消息列出最贱10条重要程度在犯罪及以上的日志消息列出所有于服务超文本协议服务相关的消息列出前四个小时内新纪录的日志4.2方案常见的系统日志及各自用途:

  /hlddy/log/messages,记录内核消息、各种服务的公认消息/hlddy/og/dmesg,记录系统启动过程的各种消息/hlddy/log/cron,记录与时间单位计划任务相关的消息/hlddy/log/maillog,记录邮件收发相关消息/hlddy/log/secure,记录与访问限制相关的安全消息日志消息的优先级(高-低):

  紧急情况(紧急):级别0,系统不可用的情况警报(警报):级别1,必须马上采取措施的情况暴击(严重):级别2,严重情形错误(错误):级别3,出现错误警告(警告):级别4,值得警告的情形通知(注意):级别5,普通但值得引起注意的事件信息(信息):级别6,一般信息调试(调试):级别7,程序/服务调试消息RHEL7提供的期刊日志工具的常见用法:

  日志grep关键词新闻杂志服务名-p优先级期刊消息条数日志CTL-since= yyyy-MM-DD HH:MM:SS -until= yyyy-MM-DD HH:MM:SS 4.3步骤实现此案例需要按如下步骤进行。

  步骤一:分析系统日志及用户日志1)列出所有包含关键词8909的系统日志消息

  简单模拟一个故障(SELinux阻止网开放8909端口):

  [root @ SVR 7 ~]# vim/etc/httpd/conf。d/8909。conf//添加开8909端口配置listen 8909[root @ SVR 7 ~]# set enforce 1//开启强制模式[root @ SVR 7 ~]#系统CTL重启httpd//起服务失败httpd.service的作业失败,因为控制进程退出,错误代码为。有关详细信息,请参见" systemctl状态httpd.service "和journalctl -xe .从日志文件/hlddy/log/messages中检索信息:

  [root @ SVR 7 ~]# grep 8909/hlddy/log/messages 1月6日17:53:48 SVR 7 setrobush:SELinux正在阻止/usr/sbin/httpd在tcp _套接字端口8909上进行名称_绑定访问。完整的防火墙消息。运行西勒特-l 6d 37 b 8 f 0-ab8a-4082-9295-c 784 F4 f 57190 1月6日17:53:48 SVR 7 python:SELinux正在阻止/usr/sbin/httpd在tcp _套接字端口8909上进行名称_绑定访问。#012#012*****插件绑定端口(92.2置信度)建议* * * * * * * * * * * * * * * * * * * * * * # 012 # 012如果要允许/usr/sbin/httpd绑定到网络端口8909 # 012则需要修改端口类型. do # 012 # semanage PORT-a-t PORT _ TYPE-p TCP 8909 # 012其中端口类型是下列之一:http_cache_port_t、http_port_t、jboss_management_port_t、jboss_messaging_port_t、ntop_port_t、puppet_port_t.#012#012*****插件catchall_boolean (7.83置信度)建议* * * * * * * * * * * * * * * * * * 012 # 012 # 012 # 012 # 012 do # 012 setse工具-P NIS _ enabled 1 # 012 # 012 * * * * *插件总括(1.41置信度)建议* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * # 012 # 012如果您认为应该默认允许超文本协议服务在端口8909 tcp_socket上进行名称_绑定访问。# 012然后您应该报告这是一个错误。# 012您可以生成一个本地策略模块来允许此访问012Do #现在通过执行# 012 # grep httpd/HLD dy/log/audit/audit。 log audit 2 allow-M mypol # 012 # se模块-I mypol。第012页来允许此访问.使用完毕记得删除测试配置文件:

  [root @ SVR 7 ~]# RM-RF/etc/httpd/conf。d/8909。conf[root @ SVR 7 ~]# system CTL restart httpd 2)查看启动识别的鼠标设备信息

  [root @ SVR 7 ~]# dmesg grep-I Mouse[1.020385]mousedev:PS/2所有鼠标通用的鼠标设备[ 1.249422]输入:ImPS/2通用滚轮鼠标as/devices/platform/I 8042/serio 1/input/input 2[2.279665]USB 2-1:产品:VMware虚拟通用串行总线鼠标[ 2.603999]输入:VMware VMware虚拟通用串行总线鼠标as /devices/pci000列出最近2条成功/不成功的用户登录消息

  查看成功登录的事件消息:

  [root @ SVR 7 ~]# last-2 zhsan pts/2 192。168 .4 .207 Fri 1月6日18:00-18:00(00:00)根pts/2 192。168 .4 .110 Fri 1月6日17:26 - 17:59 (00:33) wtmp开始于2016年8月四日星期四00:10:16查看失败登录的事件消息:

  [root @ SVR 7 ~]#最后一个b-2 anonymou ssh:notty 192。168 .4 .207 Fri 1月6日18:00-18:00(00:00)anonymou ssh:notty 192。168 .4 .207 Fri 1月6日18:00 - 18:00 (00:00) btmp开始Fri 2017年一月6日18:00:34步骤二:使用期刊日志提取工具1)列出最近10条重要程度在犯罪及以上的日志消息

  [root @ SVR 7 ~]#日志CTL-p err-n 10-Logs开始于星期四2017-01-05 15:50:08中部时间,结束于Fri中部时间2017年1月6日18时01分01秒.-1月6日14:56:57 SVR 7 setrobush[23702]:SELinux正在阻止/usr/sbin/vsftpd对文件/rhel7/repodata/repomd.xml进行用于模块的访问,有关完整的防火墙消息,请参见运行sealert 01月06日14:56:57 SVR 7 setrobush[23702]:SELinux阻止/usr/sbin/vsftpd对repomd.xml文件进行读访问运行sealert 01月06日14:56:57 SVR 7 setrobush[23702]:SELinux正在阻止/usr/sbin/vsftpd对文件/rhel7/repodata/repomd.xml的锁定访问。要获得完整的防火墙消息,请执行以下操作:插件异常restorecon _ source Jan 06 17:53:48 SVR 7 setrobush[33743]:SELinux正在阻止/usr/SBR完整的防火墙消息运行01月06日17:53:53 SVR 7 setrobush[33743]:SELinux阻止/usr/sbin/httpd在tcp _套接字端口8909上进行名称_连接访问。完整的防火墙消息1月6日17时53分54秒svr7系统d[1]:无法启动服务器性能测试工具服务器.第1-11/11行(结束)2)列出所有与服务超文本协议服务相关的消息

  [root @ SVR 7 ~]# journal CTL-u httpd-Logs始于周四2017-01-05 15:50:08中部时间,止于Fri中部时间2017年1月6日18时01分01秒.-1月6日14时57分16秒svr7系统d[1]:启动服务器性能测试工具服务器.1月06日14:57:16 SVR 7 httpd[23812]:ah 00557:httpd:apr _ sockaddr _ info _ get()对于SVR 7 Jan 06 14:57:16 SVR 7 httpd[23812]:ah 00558:httpd:无法使用127.0.0.1可靠地确定服务器的完全限定域名。设置"服务器名"方向1月6日14时57分16秒svr7系统d[1]:启动了服务器性能测试工具服务器1月6日17时53分44秒svr7系统d[1]:停止服务器性能测试工具服务器.1月6日17时53分46秒svr7系统d[1]:启动服务器性能测试工具服务器.一月6日17:53:46 SVR 7 httpd[33741]:ah 00557:httpd:apr _ sockaddr _ info _ get()对于SVR 7失败.3)列出前四个小时内新记录的日志

  根据当前日期时间往前推四个小时,确定-自从起始和-直到结束时刻:

  [root @ SVR 7 ~]# journal CTL-自 2017-01-06 14:11 -至 2017-01-06 18:11 -日志开始于星期四2017-01-05 15:50:08中部时间,结束于Fri中部时间2017年1月6日18时10分01秒.-1月6日14:20:01 svr7系统d[1]:启动了用户根的会话160。一月6日14:20:01 SVR 7 CROND[22869]:(root)CMD(/usr/lib 64/sa/sa1 1 1)1月6日14时20分01秒svr7系统d[1]:正在启动用户根的会话160。一月6日14时30分01秒svr7系统d[1]:启动了用户根的会话161。一月6日14:30:01 SVR 7 CROND[23028]:(root)CMD(/usr/lib 64/sa/sa1 1 1)1月6日14:31:39 svr7系统d[1]:正在启动用户根的会话162。一月6日14:32:17 SVR 7 sshd[23046]:PAM _ UNIX(sshd:Session):用户根的会话已关闭一月6日14:31:39 svr7系统d[1]:启动了用户根的会话162。一月6日14:31:39 SVR 7 sshd[23046]:PAM _ UNIX(sshd:session):由(uid=0)为用户根打开的会话一月6日14:31:39 SVR 7 systemd-logind[985]:用户根的新会话162.

系统日志分析软件,如何分析系统日志