一、Debian11 日志分析
很多传统的程序记录在 /var/log/ 目录下,系统使用文本格式来记录它们的活动;对于较现代化的程序则记录在 /var/log/journal 目录下,使用systemd-journald日志服务的二进制格式来记录它们的活动。
1.1、日志分析工具
Debian11 系统提供的主要用于日志分析的软件,如下为常用的软件列表。
logwatch #用Perl写的方便输出的日志分析软件 fail2ban #禁用造成多个认证错误的IP analog #WEB服务器日志分析 awstats #强大和特性全面的WEB服务器日志分析 sarg #生成squid分析报告 pflogsumm #Postfix日志条目概要 syslog-summary #总结syslog日志文件内容 fwlogwatch #防火墙日志分析软件 squidview #监控和分析squid access.log文件 swatch #有正则表达式、高亮和曲线的日志文件查看器 crm114 #可控的正则表达式分解器和垃圾邮件过滤 icmpinfo #解释ICMP信息
二、Debian11 日志文件
2.1、软件包日志
Debian11系统可以在相关的日志文件里查询到各种软件包的历史日志。
/var/log/dpkg.log #dpkg级的软件包活动日志 /var/log/apt/term.log #通用APT活动日志 /var/log/aptitude #aptitude命令活动日志
2.2、循环存档日志
日志文件的增长速度很快,需要存档。通常的做法是循环存档,只保留最新的部分。logrotate 是负责循环的程序,根据 /etc/logrotate.conf 文件内的配置,把日志文件保存在 /etc/logrotate.d/ 文件夹内。您可以修改该文件,以实现自定义的日志循环存档需求。
三、Debian11 日志监控
logcheck 程序默认频率为每小时记录一次监视日志文件,它会把异常日志通过邮件发给管理员或者相关人员。logcheck 程序可以通过以下三种模式中的一种或几种方式工作。
偏执(paranoid):此模式非常详细,只限于特殊服务器如防火墙; 服务器(server):推荐大多数服务器使用的默认模式; 工作站(workstation):更简明,过滤掉了更多信息。
3.1、监控分类
logcheck 监控规则可以被分类定制以排除某些信息,以下为通用分类的监控日志。
/etc/logcheck/cracking.d/:被认为是尝试侵入的信息; /etc/logcheck/cracking.ignore.d/:取消限制的信息; /etc/logcheck/violations.d/:被标识为安全警报的信息; /etc/logcheck/violations.ignore.d/:取消此类标识的信息。
3.2、监控行为
top 是一个很灵活的工具,它可以显示目前正在运行进程的交互工具,默认排序基于处理器的使用量,可以通过P键获取,M键为内存使用量,T键为总处理器时间,N键为处理器标识等。
3.3、监控入侵
Fail2Ban 是一款入侵防御软件套件,可以配置为监控任何将登录尝试写入日志文件的服务。例如检查sshd的日志文件,如果在10分钟内检测到5次失败的登录尝试,它将禁止来自这些尝试的IP地址10分钟,您可以按需配置。
四、Debian11 日志分析 总结
Debian11教程 - Debian11 日志分析,主要引导用户快速理解Debian11 环境下日志分析,从分析工具开始,逐步到 Debian11 日志文件存档与监控等,通篇实用易懂,让入门变得更加快速和简单。
《Debian11教程》主打原创、全部免费,欢迎学习和转载,如需交流请加微信号:try8_cn。