Windows和Linux中分析日志文件教程
作者:高防服务器 时间:2022-10-28 18:41
个人都知道这种情况,您想分析服务器或本地计算机的问题,但是在哪里可以找到所有这些日志文件?
在下面的教程中,我们将分析Linux中的特定日志文件和Windows Event Viewer中的日志。另外一章将通过Systemd进行日志分析。
Linux日志文件
不幸的是,分发之间的差异很大,可以从特定的日志文件中提取信息。在下文中,我们将分析Debian 8和CentOS 7.2的日志文件结构。查找日志文件的第一个位置应始终为/ var / log /。根据它们的配置,Apache,Nginx或类似的应用程序也会将日志文件写入此文件夹。系统日志规范和位置可以在文件/etc/rsyslog.conf中找到。
Debian 8:
/var/log/auth.log
可以在此日志文件中找到对系统进行的成功和失败身份验证的日志。当用户通过sudo调用命令时,也会记录该日志。
/ var / log / messages
该文件包含常规系统信息的日志条目,此外,您还将找到系统新贵日志。
/ var / log / dmesg或dmesg
可以使用dmesg读取内核环形缓冲区。您将根据系统的硬件和软件找到有关系统启动,运行时内核模块消息以及许多其他消息的信息。默认情况下,dmesg显示完整的环形缓冲区。但是,可以通过添加特定参数来自定义输出。完整的文档可在手册页(man dmesg)中找到。
/ var / log / syslog
通常,这是最重要的日志文件之一。通过实现syslog接口,每个Linux进程均可自由登录到syslog。它还记录系统新贵和执行的cron-jobs。
CentOS 7.2:
由于日志文件的结构与Debian 8的非常相似,因此我们将仅提及它们之间的区别。
/ var / log / secure
该日志文件等效于Debian系统中的/var/log/auth.log。各种身份验证都记录在这里。
/ var / log / messages
在CentOS中,没有将/ var / log / messages和/ var / log / syslog分开,可以在此处找到实现syslog接口的进程的所有系统日志。
/ var / log / cron
Cron特定的日志文件不像Debian中那样是syslog的一部分。它们可以在上述文件中找到。
通过Systemd进行日志分析
Systemd基本上是当今几乎所有主要Linux发行版的标准Init系统。自从至少2015年4月,当Debian和Ubuntu切换到Systemd以来,每个Linux管理员或用户都已经与Systemd联系。由于Systemd是一个复杂的系统,因此我们只会研究提供的日志分析功能。Systemd中的每个进程都被标识为一个单元。可以通过以下命令显示所有活动单位:
systemctl列表单位
附加参数–all时,此命令还将显示所有非活动单位。
由Systemd创建的日志在所谓的日志中进行管理。可以通过journalctl二进制文件访问这些日志。如果没有任何参数调用journalctl,它将打印出整个Journal。但是,也可以仅输出特定单元的日志条目。在以下示例中,我们将分析Apache Web服务器的日志文件。
journalctl -u httpd
也可以使用参数–since和–until限制输出。
journalctl -u httpd –自“ 2016-11-01 20:00:00” –直到“ 2016-11-03 20:00:00”
上面的命令将在2016-11-01 20:00:00和2016-11-03 20:00:00之间输出Apache日志条目。也可以使用“今天”或“昨天”之类的关键字。
您还可以同时输出多个单位的日志文件。在以下示例中,我们将输出自昨天以来记录的所有Apache和Nginx日志条目。
journalctl -u httpd -u nginx –从昨天开始
如果使用参数-f,则会实时显示所有所需的日志条目。
上面只是对journalctl的可能性的简要介绍,在手册页(man journalctl)上有其他有用的功能。
通过Windows Event Viewer进行日志分析
Windows事件查看器概述
在左侧导航栏中的上图中,您可以看到“ Windows Logs”条目。以下条目是最重要的。
应用
此项将显示本地安装的应用程序的事件。
安全
在这里,您可以看到成功和失败的登录尝试。
系统
此项记录操作系统内部事件和错误。
通过条目“自定义视图”->“服务器角色”->“远程桌面服务”,您可以看到与RDP相关的事件和错误。
可以通过“应用程序和服务日志”->“硬件事件”来识别潜在的硬件问题。
对于错误分析有用的概述也可以通过“概述和摘要”->“管理事件摘要”看到,它提供了系统状态的摘要概述。
上一篇:Linux中挂载其他硬盘教程
- 云主机:
- 香港云主机 枣庄云主机 宿迁云主机 美国云主机 韩国云主机 日本云主机 台湾云主机 菲律宾云主机 新加坡云主机 泰国云主机 柬埔寨云主机 越南云主机 印度尼西亚云主机 马来西亚云主机 俄罗斯云主机 英国云主机 荷兰云主机 德国云主机 法国云主机 澳大利亚云主机 加拿大云主机
更多
- 国内服务器:
- 枣庄服务器租用 青岛服务器租用 温州服务器租用 徐州服务器租用 东莞服务器租用 济南服务器租用 绍兴服务器租用 宿迁服务器租用 杭州服务器租用 西安服务器租用 宁波服务器租用 扬州服务器租用 德阳服务器租用
更多
- 海外服务器:
- 香港服务器租用 美国服务器租用 台湾服务器租用 韩国服务器租用 日本服务器租用 新加坡服务器租用 柬埔寨服务器租用 印度尼西亚服务器租用 泰国服务器租用 越南服务器租用 马来西亚服务器租用 波兰服务器租用 加拿大服务器租用 法国服务器租用 德国服务器租用 荷兰服务器租用 英国服务器租用 俄罗斯服务器租用
更多
