赞
踩
示例:
Aug 29 11:30:14 myserver sshd[2222]: Accepted publickey for user1 from 192.168.1.100 port 56789 ssh2: RSA SHA256:1234567890abcdefg
Aug 29 11:30:14 myserver sshd[2222]: pam_unix(sshd:session): session opened for user user1 by (uid=0)
Aug 29 11:35:07 myserver sshd[2222]: Received disconnect from 192.168.1.100 port 56789:11: disconnected by user
Aug 29 11:35:07 myserver sshd[2222]: Disconnected from 192.168.1.100 port 56789
Aug 29 11:35:07 myserver sshd[2222]: pam_unix(sshd:session): session closed for user user1
字段说明:
Aug 29 11:30:14
:事件发生的时间戳。myserver
:发生事件的系统的主机名。sshd[2222]
:记录事件的进程名。Accepted publickey for user1 from 192.168.1.100 port 56789 ssh2: RSA SHA256:1234567890abcdefg
:事件的详细描述。详情看:应急响应排查Linux中的secure和message日志如何排查
示例:
Aug 29 11:30:14 myserver sshd[2222]: SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023
Aug 29 11:30:14 myserver sshd[2222]: SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023
Aug 29 11:30:14 myserver sshd[2222]: SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023
Aug 29 11:30:14 myserver sshd[2222]: SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023
Aug 29 11:30:14 myserver sshd[2222]: SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023
Aug 29 11:30:14 myserver sshd[2222]: SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023
字段说明:
Aug 29 11:30:14
:事件发生的时间戳。myserver
:发生事件的系统的主机名。sshd[2222]
:记录事件的进程名。SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023
:事件的详细描述。示例:
Aug 29 11:30:14 myserver kernel: imklog 5.8.10, log source = /proc/kmsg started.
Aug 29 11:30:14 myserver rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="939" x-info="http://www.rsyslog.com"] start
Aug 29 11:30:14 myserver systemd[1]: Started System Logging Service.
Aug 29 11:30:14 myserver systemd[1]: Reached target System Logging.
Aug 29 11:30:14 myserver systemd[1]: systemd-tmpfiles-setup-dev.service: Succeeded.
Aug 29 11:30:14 myserver systemd[1]: Finished Create Volatile Files and Directories.
字段说明:
Aug 29 11:30:14
:事件发生的时间戳。myserver
:发生事件的系统的主机名。kernel
:记录事件的进程名。imklog 5.8.10, log source = /proc/kmsg started.
:事件的详细描述。示例:
Aug 29 11:30:14 myserver kernel: imklog 5.8.10, log source = /proc/kmsg started.
Aug 29 11:30:14 myserver rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="939" x-info="http://www.rsyslog.com"] start
Aug 29 11:30:14 myserver systemd[1]: Started System Logging Service.
Aug 29 11:30:14 myserver systemd[1]: Reached target System Logging.
Aug 29 11:30:14 myserver systemd[1]: systemd-tmpfiles-setup-dev.service: Succeeded.
Aug 29 11:30:14 myserver systemd[1]: Finished Create Volatile Files and Directories.
字段说明:
Aug 29 11:30:14
:事件发生的时间戳。myserver
:发生事件的系统的主机名。kernel
:记录事件的进程名。imklog 5.8.10, log source = /proc/kmsg started.
:事件的详细描述。示例:
root pts/0 192.168.1.100 Wed Aug 29 11:30:14 2018
user1 pts/1 192.168.1.101 Thu Aug 30 09:15:23 2018
user2 pts/2 192.168.1.102 Fri Sep 01 14:30:45 2018
字段说明:
root
:用户名。pts/0
:终端名称。192.168.1.100
:登录时的 IP 地址。Wed Aug 29 11:30:14 2018
:最近一次登录的时间戳。示例:
root pts/0 192.168.1.100 Wed Aug 29 11:30:14 2018
user1 pts/1 192.168.1.101 Thu Aug 30 09:15:23 2018
user2 pts/2 192.168.1.102 Fri Sep 01 14:30:45 2018
字段说明:
root
:用户名。pts/0
:终端名称。192.168.1.100
:登录时的 IP 地址。Wed Aug 29 11:30:14 2018
:登录时间戳。示例:
root pts/0 192.168.1.100 Wed Aug 29 11:30:14 2018
user1 pts/1 192.168.1.101 Thu Aug 30 09:15:23 2018
user2 pts/2 192.168.1.102 Fri Sep 01 14:30:45 2018
字段说明:
root
:用户名。pts/0
:终端名称。192.168.1.100
:登录时的 IP 地址。Wed Aug 29 11:30:14 2018
:登录时间戳。/var/log/apache2/access.log
):Apache访问日志记录了所有向Apache服务器发出的请求。一个典型的Apache访问日志记录如下:
192.168.1.100 - - [10/Feb/2022:15:20:30 +0000] "GET /index.html HTTP/1.1" 200 1024
格式说明:
/var/log/apache2/error.log
):Apache错误日志记录了Apache服务器的错误和诊断信息。一个典型的Apache错误日志记录如下:
[Wed Feb 10 15:20:30.123456 2022] [core:error] [pid 12345] [client 192.168.1.100:1234] File does not exist: /var/www/html/favicon.ico
格式说明:
/var/log/nginx/access.log
):Nginx访问日志记录了所有向Nginx服务器发出的请求。一个典型的Nginx访问日志记录如下:
192.168.1.100 - - [10/Feb/2022:15:20:30 +0000] "GET /index.html HTTP/1.1" 200 1024 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
格式说明:
/var/log/nginx/error.log
):Nginx错误日志记录了Nginx服务器的错误和诊断信息。一个典型的Nginx错误日志记录如下:
2022/02/10 15:20:30 [error] 12345#12345: *1 open() "/var/www/html/favicon.ico" failed (2: No such file or directory), client: 192.168.1.100, server: example.com, request: "GET /favicon.ico HTTP/1.1", host: "example.com"
格式说明:
这些日志文件只是Linux系统中众多日志文件的一部分。不同的服务和应用程序可能会产生不同格式的日志记录。在分析日志时,请参考相关文档以了解日志格式和字段的具体含义。使用cat
、grep
、awk
等命令来过滤和分析日志文件。
/var/log/mysql/error.log
):MySQL错误日志记录了MySQL数据库服务器的错误和诊断信息。一个典型的MySQL错误日志记录如下:
2022-02-10T15:20:30.123456Z 12345 [Note] Access denied for user 'invaliduser'@'192.168.1.100' (using password: YES)
格式说明:
/var/log/postgresql/postgresql-<version>-main.log
):PostgreSQL日志记录了PostgreSQL数据库服务器的操作和错误信息。一个典型的PostgreSQL日志记录如下:
2022-02-10 15:20:30 UTC [12345]: [1-1] user=invaliduser,db=mydb,client=192.168.1.100 ERROR: syntax error at or near "SELECTT" at character 8
格式说明:
Docker容器的日志可以通过docker logs
命令查看。这些日志通常是容器中运行的应用程序的标准输出和标准错误。日志格式因应用程序而异,因此请参考相关文档以了解日志格式和字段的具体含义。
查看Docker容器的日志:
docker logs container_name_or_id
这些仅是Linux系统中各种日志文件的一部分。在分析日志时,请参考相关文档以了解日志格式和字段的具体含义。使用cat
、grep
、awk
等命令来过滤和分析日志文件。
https://blog.51cto.com/u_16175477/7342326
在Linux系统中,Redis日志通常不记录在/var/log/secure
文件中。Redis日志通常记录在Redis配置文件指定的日志文件中,例如/var/log/redis/redis-server.log
。以下是一些常见的Redis日志示例及其字段解释:
[12345] 01 Jan 2022 12:34:56.789 * Server started, Redis version 6.2.6
[12345] 01 Jan 2022 12:34:56.789 * Accepted 192.168.1.1:12345
[12345] 01 Jan 2022 12:34:56.789 * DB saved on disk
[12345] 01 Jan 2022 12:34:56.789 * Slave 192.168.1.2:12345 asks for synchronization
这些示例仅涵盖了Redis日志中的一部分内容。Redis日志还包括其他类型的信息,如配置更改、内存使用情况、慢查询等。为了更好地了解Redis日志中的各个字段,建议查阅Redis官方文档并在实际环境中观察日志。
Redis默认不记录详细的访问日志,但我们可以通过开启Redis的命令日志(也称监视器日志)来获取更多信息。命令日志会记录所有客户端对Redis服务器的输入。你可以通过在Redis客户端输入命令MONITOR
来开启命令日志。需要注意的是,使用MONITOR
命令会导致Redis性能下降,因为它会记录所有命令,所以请谨慎使用。
在Redis中,没有特定的登录失败、修改密码、执行命令和登录成功的日志。但是,我们可以通过检查命令日志来查找相关信息。以下是一些示例:
1339518083.107412 [0 127.0.0.1:60866] "AUTH" "password"
1339518083.107413 [0 127.0.0.1:60866] "CONFIG" "SET" "requirepass" "new_password"
1339518083.107414 [0 127.0.0.1:60866] "SET" "key" "value"
请注意,这些日志示例仅适用于已启用命令日志的情况。在默认配置下,Redis不会记录这些详细信息。为了更好地了解Redis日志中的各个字段,建议查阅Redis官方文档并在实际环境中观察日志。
以下是一些其他常见的 Linux 日志文件及其字段格式说明:
字段说明:
timestamp
:事件发生的时间戳。hostname
:发生事件的系统的主机名。process
:记录事件的进程名。message
:事件的详细描述。字段说明:
timestamp
:事件发生的时间戳。hostname
:发生事件的系统的主机名。process
:记录事件的进程名。message
:事件的详细描述。字段说明:
timestamp
:事件发生的时间戳。hostname
:发生事件的系统的主机名。process
:记录事件的进程名。message
:事件的详细描述。字段说明:
timestamp
:事件发生的时间戳。hostname
:发生事件的系统的主机名。process
:记录事件的进程名。message
:事件的详细描述。字段说明:
timestamp
:事件发生的时间戳。hostname
:发生事件的系统的主机名。process
:记录事件的进程名。message
:事件的详细描述。字段说明:
timestamp
:事件发生的时间戳。hostname
:发生事件的系统的主机名。process
:记录事件的进程名。message
:事件的详细描述。字段说明:
timestamp
:事件发生的时间戳。username
:用户名。hostname
:发生事件的系统的主机名。process
:记录事件的进程名。message
:事件的详细描述。请注意,这些日志文件的格式可能因发行版和配置而异。在分析日志时,请确保了解您的系统的具体配置。
各种类型的Web服务器有不同的日志路径和日志格式。以下是一些常见的Web服务器及其日志路径、日志案例和字段说明:
日志路径:默认情况下,Apache的访问日志路径为/var/log/apache2/access.log
(在Debian/Ubuntu系统上)或/var/log/httpd/access_log
(在RedHat/CentOS系统上)。
日志案例:
127.0.0.1 - - [15/Nov/2021:10:30:00 +0000] "GET /index.html HTTP/1.1" 200 2326 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
字段说明:
日志路径:默认情况下,Nginx的访问日志路径为/var/log/nginx/access.log
。
日志案例:
127.0.0.1 - - [15/Nov/2021:10:30:00 +0000] "GET /index.html HTTP/1.1" 200 2326 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
字段说明:与Apache HTTP服务器的字段说明相同。
日志路径:默认情况下,IIS的访问日志路径为%SystemDrive%\inetpub\logs\LogFiles
。
日志案例:
2021-11-15 10:30:00 127.0.0.1 GET /index.html - 80 - 127.0.0.1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/58.0.3029.110+Safari/537.3 200 0 0 15
字段说明:
除了上述常见的Web服务器日志外,还有其他一些Web服务器和应用服务器,它们也有自己的日志路径和格式。以下是一些补充示例:
日志路径:默认情况下,Tomcat的访问日志路径为$CATALINA_HOME/logs/localhost_access_log.YYYY-MM-DD.txt
。
日志案例:
127.0.0.1 - - [15/Nov/2021:10:30:00 +0000] "GET /index.jsp HTTP/1.1" 200 2326
字段说明:
日志路径:默认情况下,Lighttpd的访问日志路径为/var/log/lighttpd/access.log
。
日志案例:
127.0.0.1 127.0.0.1 - [15/Nov/2021:10:30:00 +0000] "GET /index.html HTTP/1.1" 200 2326 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"
字段说明:与Apache HTTP服务器的字段说明相同,但在客户端IP地址后面多了一个服务器IP地址字段。
日志路径:Caddy默认没有访问日志,但可以通过配置启用。访问日志路径取决于配置文件中的设置。
日志案例:
{"level":"info","ts":1636968600.123456,"logger":"http.log.access","msg":"handled request","request":{"remote_addr":"127.0.0.1:12345","proto":"HTTP/1.1","method":"GET","host":"localhost","uri":"/index.html","headers":{"User-Agent":["Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"]}},"common_log":"127.0.0.1 - - [15/Nov/2021:10:30:00 +0000] \"GET /index.html HTTP/1.1\" 200 2326","duration":0.000123,"size":2326,"status":200,"resp_headers":{"Server":["Caddy"],"Content-Type":["text/html"]}}
字段说明:Caddy服务器的日志格式为JSON,包含以下字段:
请注意,上述示例中的路径和格式可能会因服务器配置和版本而有所不同。你可以根据需要在服务器配置文件中自定义日志路径和格式。
登录成功日志
查询位置:Linux系统中的/var/log/secure或/var/log/auth.log文件
日志示例:sshd12345: Accepted password for user from 192.168.1.1 port 12345 ssh2
登录失败日志
查询位置:Linux系统中的/var/log/secure或/var/log/auth.log文件
日志示例:sshd12345: Failed password for user from 192.168.1.1 port 12345 ssh2
爆破攻击日志
查询位置:Linux系统中的/var/log/secure或/var/log/auth.log文件
日志示例:sshd12345: Failed password for invalid user admin from 192.168.1.1 port 12345 ssh2
修改密码日志
查询位置:Linux系统中的/var/log/secure或/var/log/auth.log文件
日志示例:passwd12345: password changed for user
用户添加日志
查询位置:Linux系统中的/var/log/secure或/var/log/auth.log文件
日志示例:useradd12345: new user: name=user, UID=1001, GID=1001, home=/home/user, shell=/bin/bash
用户删除日志
查询位置:Linux系统中的/var/log/secure或/var/log/auth.log文件
日志示例:userdel12345: delete user ‘user’
用户锁定日志
查询位置:Linux系统中的/var/log/secure或/var/log/auth.log文件
日志示例:passwd12345: password status changed for user
用户解锁日志
查询位置:Linux系统中的/var/log/secure或/var/log/auth.log文件
日志示例:passwd12345: password status changed for user
sudo命令执行日志
查询位置:Linux系统中的/var/log/secure或/var/log/auth.log文件
日志示例:sudo: user : TTY=pts/0 ; PWD=/home/user ; USER=root ; COMMAND=/bin/cat /etc/shadow
文件修改日志
查询位置:Linux系统中的/var/log/audit/audit.log文件(需安装auditd)
日志示例:type=SYSCALL msg=audit(1234567890.123:12345): arch=c000003e syscall=2 success=yes exit=3 a0=7ffeabc123 a1=241 a2=1b6 a3=7ffeabc123 items=2 ppid=12345 pid=12346 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=12345 comm=“vi” exe=“/usr/bin/vi” key=“file_changes”
文件删除日志
查询位置:Linux系统中的/var/log/audit/audit.log文件(需安装auditd)
日志示例:type=SYSCALL msg=audit(1234567890.123:12345): arch=c000003e syscall=87 success=yes exit=0 a0=7ffeabc123 a1=7ffeabc123 a2=7ffeabc123 a3=7ffeabc123 items=1 ppid=12345 pid=12346 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=12345 comm=“rm” exe=“/usr/bin/rm” key=“file_changes”
文件访问日志
查询位置:Linux系统中的/var/log/audit/audit.log文件(需安装auditd)
日志示例:type=SYSCALL msg=audit(1234567890.123:12345): arch=c000003e syscall=2 success=yes exit=3 a0=7ffeabc123 a1=0 a2=1b6 a3=7ffeabc123 items=2 ppid=12345 pid=12346 auid=1000 uid=1000 gid=1000 euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts0 ses=12345 comm=“cat” exe=“/usr/bin/cat” key=“file_access”
网络连接日志
查询位置:Linux系统中的/var/log/messages或/var/log/syslog文件
日志示例:kernel: 123456.789012 UFW BLOCK IN=eth0 OUT= MAC=00:0c:29:28:fe:8c:00:0c:29:6d:9c:58:08:00 SRC=192.168.1.2 DST=192.168.1.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=55251 DF PROTO=TCP SPT=54321 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0
防火墙日志
查询位置:Linux系统中的/var/log/ufw.log文件
日志示例:UFW BLOCK IN=eth0 OUT= MAC= SRC=192.168.1.2 DST=192.168.1.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=55251 DF PROTO=TCP SPT=54321 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0
Apache访问日志
查询位置:Linux系统中的/var/log/httpd/access_log或/var/log/apache2/access.log文件
日志示例:192.168.1.1 - - 01/Jan/2022:12:34:56 +0000 “GET /index.html HTTP/1.1” 200 1234
Apache错误日志
查询位置:Linux系统中的/var/log/httpd/error_log或/var/log/apache2/error.log文件
日志示例:Sun Jan 01 12:34:56.789012 2022 core:error pid 12345 client 192.168.1.1:12345 File does not exist: /var/www/html/404.html
Nginx访问日志
查询位置:Linux系统中的/var/log/nginx/access.log文件
日志示例:192.168.1.1 - - 01/Jan/2022:12:34:56 +0000 “GET /index.html HTTP/1.1” 200 1234 “-” “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537”
Nginx错误日志
查询位置:Linux系统中的/var/log/nginx/error.log文件
日志示例:2022/01/01 12:34:56 error 12345#12345: *1 open() “/usr/share/nginx/html/404.html” failed (2: No such file or directory), client: 192.168.1.1, server: localhost, request: “GET /404.html HTTP/1.1”, host: “localhost”
MySQL错误日志
查询位置:MySQL配置文件中的log_error参数指定的文件
日志示例:2022-01-01T12:34:56.789012Z 0 Note Access denied for user ‘user’@‘localhost’ (using password: YES)
MySQL查询日志
查询位置:MySQL配置文件中的general_log_file参数指定的文件
日志示例:2022-01-01T12:34:56.789012Z 12345 Query SELECT * FROM table
登录失败日志
sshd12345: Failed password for user from 192.168.1.1 port 12345 ssh2
字段含义与登录成功日志相同,只是表示密码验证失败。
爆破攻击日志
sshd12345: Failed password for invalid user admin from 192.168.1.1 port 12345 ssh2
字段含义与登录失败日志相同,但此处表示尝试登录的用户名无效。
修改密码日志
passwd12345: password changed for user
用户锁定日志
passwd12345: password status changed for user
字段含义与修改密码日志相同,表示用户密码状态已更改(锁定)。
用户解锁日志
passwd12345: password status changed for user
字段含义与修改密码日志相同,表示用户密码状态已更改(解锁)。
sudo命令执行日志
sudo: user : TTY=pts/0 ; PWD=/home/user ; USER=root ; COMMAND=/bin/cat /etc/shadow
文件删除日志
字段含义与文件修改日志相同,只是syscall编号和操作类型不同(unlink)。
文件访问日志
字段含义与文件修改日志相同,只是操作类型不同(read)。
网络连接日志
kernel: 123456.789012 UFW BLOCK IN=eth0 OUT= MAC=00:0c:29:28:fe:8c:00:0c:29:6d:9c:58:08:00 SRC=192.168.1.2 DST=192.168.1.1 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=55251 DF PROTO=TCP SPT=54321 DPT=22 WINDOW=29200 RES=0x00 SYN URGP=0
防火墙日志
字段含义与网络连接日志相同,只是没有内核日志前缀。
Apache访问日志
192.168.1.1 - - 01/Jan/2022:12:34:56 +0000 “GET /index.html HTTP/1.1” 200 1234
Nginx访问日志
字段含义与Apache访问日志相同。
Nginx错误日志
2022/01/01 12:3456 error 12345#12345: *1 open() “/usr/share/nginx/html/404.html” failed (2: No such file or directory), client: 192.168.1.1, server: localhost, request: “GET /404.html HTTP/1.1”, host: “localhost”
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。