1、查找日志文件簡單方法
一般來說,系統日志文件幾乎都保存在/var/子目錄(該路徑由syslog.conf文件定義)。如果想讓所有的應用程序都把日志文 件集中存放到/var/子目錄下,需要依次對每一個應用程序的配置文件進行編輯。把日志集中到/var/子目錄下是個很好的主意。首先,當需要查看它們、 修改它們的權限或者對它們進行備份的時候,只要到一個地方就可以找到所有的日志文件。
其次,/var/子目錄通常是在一個獨立於根目錄(/)的文件系統里,這有助於防止日志文件迅速變大並占滿可用空間,避免操作系統和應 用程序受到影響。可以利用find命令把你不知道的日志文件查找出來具體做法是:先切換到根目錄下,然后以根用戶(root)身份執行下面這條命令把最近 被修改過的文件全部找出來:
find . -type f -mtime -5 –print | grep -v proc | grep -v lock
2、以手動方式搜索日志文件
grep是Unix系統上功能最強大的shell命令之一。利用grep命令在日志文件里搜索各種可疑線索是這個文本文件搜索命令的絕佳用途。grep命令的用法很簡單——在命令行上輸入:
grep "failed" /var/log/messages
上面這條grep命令將把/var/log/messages文件里包含單詞“failed”的文本行全部找出來。在默認情況 下,grep命令是大小寫敏感的,你可能需要根據具體情況使用grep命令和它的“-i”選項來進行對大小寫不敏感的搜索。搜索日志文件的挑戰之一是你必 須先知道自己想找什么東西,然后才可以把可能存在的這個東西找出來。有幾種辦法可以幫助解決這一問題。
如果你知道自己想找的事件或活動——比如,用戶試圖使用su命令切換為根用戶——可以先自己進行一次這樣的活動,然后去日志文件里看看它是什么樣子。比如,在SUSE Linux系統上,執行失敗的su命令將在日志文件里留下這樣一條記錄:
Apr 1 11:15:54 chim su: FAILED SU (to root) rreck on /dev/pts/1
於是,如果想把所有這類活動都查出來,應該使用下面這樣的命令:
grep "FAILED SU" /var/log/messages
上面示例里的活動是黑客攻擊的一種標志。如果grep命令只在日志文件里零零散散地找到了幾個這樣的失敗事件,那很可能是有人忘記了口 令字或者是打字時出現了錯誤。反之,如果grep命令在日志文件里找到幾十個這樣的失敗事件,很可能是有人在試圖闖入你的系統,應該立刻采取措施在網絡級 拒絕他們的訪問。
3.搭建日志服務器
(1) 修改日志配置文件,將日志備份到服務器上。(使用syslog 或者rsyslog)
[root@wwwserver /]# vi /etc/syslog.conf
添加下面的代碼到syslog.conf中:*.* @logserver
(2)或者安裝數據庫,進行日志數據庫管理。