安科网

如何分析 Linux 日志

wking

wking

2015-08-03

关注 关注

如何分析 Linux 日志

日志中有大量的信息需要你处理,尽管有时候想要提取并非想象中的容易。在这篇文章中我们会介绍一些你现在就能做的基本日志分析例子(只需要搜索即可)。我们还将涉及一些更高级的分析,但这些需要你前期努力做出适当的设置,后期就能节省很多时间。对数据进行高级分析的例子包括生成汇总计数、对有效值进行过滤,等等。

我们首先会向你展示如何在命令行中使用多个不同的工具,然后展示了一个日志管理工具如何能自动完成大部分繁重工作从而使得日志分析变得简单。

用 Grep 搜索

搜索文本是查找信息最基本的方式。搜索文本最常用的工具是 grep。这个命令行工具在大部分 Linux 发行版中都有,它允许你用正则表达式搜索日志。正则表达式是一种用特殊的语言写的、能识别匹配文本的模式。最简单的模式就是用引号把你想要查找的字符串括起来。

正则表达式

这是一个在 Ubuntu 系统的认证日志中查找 “user hoover” 的例子:

  1. <span class="pln">$ grep </span><span class="str">"user hoover"</span><span class="pun">/</span><span class="kwd">var</span><span class="pun">/</span><span class="pln">log</span><span class="pun">/</span><span class="pln">auth</span><span class="pun">.</span><span class="pln">log</span>
  2. <span class="typ">Accepted</span><span class="pln"> password </span><span class="kwd">for</span><span class="pln"> hoover </span><span class="kwd">from</span><span class="lit">10.0</span><span class="pun">.</span><span class="lit">2.2</span><span class="pln"> port </span><span class="lit">4792</span><span class="pln"> ssh2</span>
  3. <span class="pln">pam_unix</span><span class="pun">(</span><span class="pln">sshd</span><span class="pun">:</span><span class="pln">session</span><span class="pun">):</span><span class="pln"> session opened </span><span class="kwd">for</span><span class="pln"> user hoover </span><span class="kwd">by</span><span class="pun">(</span><span class="pln">uid</span><span class="pun">=</span><span class="lit">0</span><span class="pun">)</span>
  4. <span class="pln">pam_unix</span><span class="pun">(</span><span class="pln">sshd</span><span class="pun">:</span><span class="pln">session</span><span class="pun">):</span><span class="pln"> session closed </span><span class="kwd">for</span><span class="pln"> user hoover</span>

构建精确的正则表达式可能很难。例如,如果我们想要搜索一个类似端口 “4792” 的数字,它可能也会匹配时间戳、URL 以及其它不需要的数据。Ubuntu 中下面的例子,它匹配了一个我们不想要的 Apache 日志。

  1. <span class="pln">$ grep </span><span class="str">"4792"</span><span class="pun">/</span><span class="kwd">var</span><span class="pun">/</span><span class="pln">log</span><span class="pun">/</span><span class="pln">auth</span><span class="pun">.</span><span class="pln">log</span>
  2. <span class="typ">Accepted</span><span class="pln"> password </span><span class="kwd">for</span><span class="pln"> hoover </span><span class="kwd">from</span><span class="lit">10.0</span><span class="pun">.</span><span class="lit">2.2</span><span class="pln"> port </span><span class="lit">4792</span><span class="pln"> ssh2</span>
  3. <span class="lit">74.91</span><span class="pun">.</span><span class="lit">21.46</span><span class="pun">-</span><span class="pun">-</span><span class="pun">[</span><span class="lit">31</span><span class="pun">/</span><span class="typ">Mar</span><span class="pun">/</span><span class="lit">2015</span><span class="pun">:</span><span class="lit">19</span><span class="pun">:</span><span class="lit">44</span><span class="pun">:</span><span class="lit">32</span><span class="pun">+</span><span class="lit">0000</span><span class="pun">]</span><span class="str">"GET /scripts/samples/search?q=4972 HTTP/1.0"</span><span class="lit">404</span><span class="lit">545</span><span class="str">"-"</span><span class="str">"-”</span>

环绕搜索

另一个有用的小技巧是你可以用 grep 做环绕搜索。这会向你展示一个匹配前面或后面几行是什么。它能帮助你调试导致错误或问题的东西。B 选项展示前面几行,A 选项展示后面几行。举个例子,我们知道当一个人以管理员员身份登录失败时,同时他们的 IP 也没有反向解析,也就意味着他们可能没有有效的域名。这非常可疑!

  1. <span class="pln">$ grep </span><span class="pun">-</span><span class="pln">B </span><span class="lit">3</span><span class="pun">-</span><span class="pln">A </span><span class="lit">2</span><span class="str">'Invalid user'</span><span class="pun">/</span><span class="kwd">var</span><span class="pun">/</span><span class="pln">log</span><span class="pun">/</span><span class="pln">auth</span><span class="pun">.</span><span class="pln">log</span>
  2. <span class="typ">Apr</span><span class="lit">28</span><span class="lit">17</span><span class="pun">:</span><span class="lit">06</span><span class="pun">:</span><span class="lit">20</span><span class="pln"> ip</span><span class="pun">-</span><span class="lit">172</span><span class="pun">-</span><span class="lit">31</span><span class="pun">-</span><span class="lit">11</span><span class="pun">-</span><span class="lit">241</span><span class="pln"> sshd</span><span class="pun">[</span><span class="lit">12545</span><span class="pun">]:</span><span class="pln"> reverse mapping checking getaddrinfo </span><span class="kwd">for</span><span class="lit">216</span><span class="pun">-</span><span class="lit">19</span><span class="pun">-</span><span class="lit">2</span><span class="pun">-</span><span class="lit">8.commspeed</span><span class="pun">.</span><span class="pln">net </span><span class="pun">[</span><span class="lit">216.19</span><span class="pun">.</span><span class="lit">2.8</span><span class="pun">]</span><span class="pln"> failed </span><span class="pun">-</span><span class="pln"> POSSIBLE BREAK</span><span class="pun">-</span><span class="pln">IN ATTEMPT</span><span class="pun">!</span>
  3. <span class="typ">Apr</span><span class="lit">28</span><span class="lit">17</span><span class="pun">:</span><span class="lit">06</span><span class="pun">:</span><span class="lit">20</span><span class="pln"> ip</span><span class="pun">-</span><span class="lit">172</span><span class="pun">-</span><span class="lit">31</span><span class="pun">-</span><span class="lit">11</span><span class="pun">-</span><span class="lit">241</span><span class="pln"> sshd</span><span class="pun">[</span><span class="lit">12545</span><span class="pun">]:</span><span class="typ">Received</span><span class="pln"> disconnect </span><span class="kwd">from</span><span class="lit">216.19</span><span class="pun">.</span><span class="lit">2.8</span><span class="pun">:</span><span class="lit">11</span><span class="pun">:</span><span class="typ">Bye</span><span class="typ">Bye</span><span class="pun">[</span><span class="pln">preauth</span><span class="pun">]</span>
  4. <span class="typ">Apr</span><span class="lit">28</span><span class="lit">17</span><span class="pun">:</span><span class="lit">06</span><span class="pun">:</span><span class="lit">20</span><span class="pln"> ip</span><span class="pun">-</span><span class="lit">172</span><span class="pun">-</span><span class="lit">31</span><span class="pun">-</span><span class="lit">11</span><span class="pun">-</span><span class="lit">241</span><span class="pln"> sshd</span><span class="pun">[</span><span class="lit">12547</span><span class="pun">]:</span><span class="typ">Invalid</span><span class="pln"> user admin </span><span class="kwd">from</span><span class="lit">216.19</span><span class="pun">.</span><span class="lit">2.8</span>
  5. <span class="typ">Apr</span><span class="lit">28</span><span class="lit">17</span><span class="pun">:</span><span class="lit">06</span><span class="pun">:</span><span class="lit">20</span><span class="pln"> ip</span><span class="pun">-</span><span class="lit">172</span><span class="pun">-</span><span class="lit">31</span><span class="pun">-</span><span class="lit">11</span><span class="pun">-</span><span class="lit">241</span><span class="pln"> sshd</span><span class="pun">[</span><span class="lit">12547</span><span class="pun">]:</span><span class="pln"> input_userauth_request</span><span class="pun">:</span><span class="pln"> invalid user admin </span><span class="pun">[</span><span class="pln">preauth</span><span class="pun">]</span>
  6. <span class="typ">Apr</span><span class="lit">28</span><span class="lit">17</span><span class="pun">:</span><span class="lit">06</span><span class="pun">:</span><span class="lit">20</span><span class="pln"> ip</span><span class="pun">-</span><span class="lit">172</span><span class="pun">-</span><span class="lit">31</span><span class="pun">-</span><span class="lit">11</span><span class="pun">-</span><span class="lit">241</span><span class="pln"> sshd</span><span class="pun">[</span><span class="lit">12547</span><span class="pun">]:</span><span class="typ">Received</span><span class="pln"> disconnect </span><span class="kwd">from</span><span class="lit">216.19</span><span class="pun">.</span><span class="lit">2.8</span><span class="pun">:</span><span class="lit">11</span><span class="pun">:</span><span class="typ">Bye</span><span class="typ">Bye</span><span class="pun">[</span><span class="pln">preauth</span><span class="pun">]</span>

Tail

你也可以把 grep 和 tail 结合使用来获取一个文件的最后几行,或者跟踪日志并实时打印。这在你做交互式更改的时候非常有用,例如启动服务器或者测试代码更改��

  1. <span class="pln">$ tail </span><span class="pun">-</span><span class="pln">f </span><span class="pun">/</span><span class="kwd">var</span><span class="pun">/</span><span class="pln">log</span><span class="pun">/</span><span class="pln">auth</span><span class="pun">.</span><span class="pln">log </span><span class="pun">|</span><span class="pln"> grep </span><span class="str">'Invalid user'</span>
  2. <span class="typ">Apr</span><span class="lit">30</span><span class="lit">19</span><span class="pun">:</span><span class="lit">49</span><span class="pun">:</span><span class="lit">48</span><span class="pln"> ip</span><span class="pun">-</span><span class="lit">172</span><span class="pun">-</span><span class="lit">31</span><span class="pun">-</span><span class="lit">11</span><span class="pun">-</span><span class="lit">241</span><span class="pln"> sshd</span><span class="pun">[</span><span class="lit">6512</span><span class="pun">]:</span><span class="typ">Invalid</span><span class="pln"> user ubnt </span><span class="kwd">from</span><span class="lit">219.140</span><span class="pun">.</span><span class="lit">64.136</span>
  3. <span class="typ">Apr</span><span class="lit">30</span><span class="lit">19</span><span class="pun">:</span><span class="lit">49</span><span class="pun">:</span><span class="lit">49</span><span class="pln"> ip</span><span class="pun">-</span><span class="lit">172</span><span class="pun">-</span><span class="lit">31</span><span class="pun">-</span><span class="lit">11</span><span class="pun">-</span><span class="lit">241</span><span class="pln"> sshd</span><span class="pun">[</span><span class="lit">6514</span><span class="pun">]:</span><span class="typ">Invalid</span><span class="pln"> user admin </span><span class="kwd">from</span><span class="lit">219.140</span><span class="pun">.</span><span class="lit">64.136</span>

关于 grep 和正则表达式的详细介绍并不在本指南的范围,但 Ryan’s Tutorials 有更深入的介绍。

日志管理系统有更高的性能和更强大的搜索能力。它们通常会索引数据并进行并行查询,因此你可以很快的在几秒内就能搜索 GB 或 TB 的日志。相比之下,grep 就需要几分钟,在极端情况下可能甚至几小时。日志管理系统也使用类似 Lucene 的查询语言,它提供更简单的语法来检索数字、域以及其它。

用 Cut、 AWK、 和 Grok 解析

命令行工具

Linux 提供了多个命令行工具用于文本解析和分析。当你想要快速解析少量数据时非常有用,但处理大量数据时可能需要很长时间。

Cut

cut 命令允许你从有分隔符的日志解析字段。分隔符是指能分开字段或键值对的等号或逗号等。

假设我们想从下面的日志中解析出用户:

  1. <span class="pln">pam_unix</span><span class="pun">(</span><span class="pln">su</span><span class="pun">:</span><span class="pln">auth</span><span class="pun">):</span><span class="pln"> authentication failure</span><span class="pun">;</span><span class="pln"> logname</span><span class="pun">=</span><span class="pln">hoover uid</span><span class="pun">=</span><span class="lit">1000</span><span class="pln"> euid</span><span class="pun">=</span><span class="lit">0</span><span class="pln"> tty</span><span class="pun">=</span><span class="str">/dev/</span><span class="pln">pts</span><span class="pun">/</span><span class="lit">0</span><span class="pln"> ruser</span><span class="pun">=</span><span class="pln">hoover rhost</span><span class="pun">=</span><span class="pln"> user</span><span class="pun">=</span><span class="pln">root</span>

我们可以像下面这样用 cut 命令获取用等号分割后的第八个字段的文本。这是一个 Ubuntu 系统上的例子:

  1. <span class="pln">$ grep </span><span class="str">"authentication failure"</span><span class="pun">/</span><span class="kwd">var</span><span class="pun">/</span><span class="pln">log</span><span class="pun">/</span><span class="pln">auth</span><span class="pun">.</span><span class="pln">log </span><span class="pun">|</span><span class="pln"> cut </span><span class="pun">-</span><span class="pln">d </span><span class="str">'='</span><span class="pun">-</span><span class="pln">f </span><span class="lit">8</span>
  2. <span class="pln">root</span>
  3. <span class="pln">hoover</span>
  4. <span class="pln">root</span>
  5. <span class="pln">nagios</span>
  6. <span class="pln">nagios</span>

AWK

另外,你也可以使用 awk,它能提供更强大的解析字段功能。它提供了一个脚本语言,你可以过滤出几乎任何不相干的东西。

例如,假设在 Ubuntu 系统中我们有下面的一行日志,我们想要提取登录失败的用户名称:

  1. <span class="typ">Mar</span><span class="lit">24</span><span class="lit">08</span><span class="pun">:</span><span class="lit">28</span><span class="pun">:</span><span class="lit">18</span><span class="pln"> ip</span><span class="pun">-</span><span class="lit">172</span><span class="pun">-</span><span class="lit">31</span><span class="pun">-</span><span class="lit">11</span><span class="pun">-</span><span class="lit">241</span><span class="pln"> sshd</span><span class="pun">[</span><span class="lit">32701</span><span class="pun">]:</span><span class="pln"> input_userauth_request</span><span class="pun">:</span><span class="pln"> invalid user guest </span><span class="pun">[</span><span class="pln">preauth</span><span class="pun">]</span>

你可以像下面这样使用 awk 命令。首先,用一个正则表达式 /sshd.*invalid user/ 来匹配 sshd invalid user 行。然后用 { print $9 } 根据默认的分隔符空格打印第九个字段。这样就输出了用户名。

  1. <span class="pln">$ awk </span><span class="str">'/sshd.*invalid user/ { print $9 }'</span><span class="pun">/</span><span class="kwd">var</span><span class="pun">/</span><span class="pln">log</span><span class="pun">/</span><span class="pln">auth</span><span class="pun">.</span><span class="pln">log</span>
  2. <span class="pln">guest</span>
  3. <span class="pln">admin</span>
  4. <span class="pln">info</span>
  5. <span class="pln">test</span>
  6. <span class="pln">ubnt</span>

你可以在 Awk 用户指南 中阅读更多关于如何使用正则表达式和输出字段的信息。

日志管理系统

日志管理系统使得解析变得更加简单,使用户能快速的分析很多的日志文件。他们能自动解析标准的日志格式,比如常见的 Linux 日志和 Web 服务器日志。这能节省很多时间,因为当处理系统问题的时候你不需要考虑自己写解析逻辑。

下面是一个 sshd 日志消息的例子,解析出了每个 remoteHost 和 user。这是 Loggly 中的一张截图,它是一个基于云的日志管理服务。

如何分析 Linux 日志

你也可以对非标准格式自定义解析。一个常用的工具是 Grok,它用一个常见正则表达式库,可以解析原始文本为结构化 JSON。下面是一个 Grok 在 Logstash 中解析内核日志文件的事例配置:

  1. <span class="pln">filter</span><span class="pun">{</span>
  2. <span class="pln">grok </span><span class="pun">{</span>
  3. <span class="pln">match </span><span class="pun">=></span><span class="pun">{</span><span class="str">"message"</span><span class="pun">=></span><span class="str">"%{CISCOTIMESTAMP:timestamp} %{HOST:host} %{WORD:program}%{NOTSPACE} %{NOTSPACE}%{NUMBER:duration}%{NOTSPACE} %{GREEDYDATA:kernel_logs}"</span>
  4. <span class="pun">}</span>
  5. <span class="pun">}</span>

下图是 Grok 解析后输出的结果:

如何分析 Linux 日志

linux系统

wking

wking

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

如何对Linux ps命令输出进行排序

ps命令是理解Linux系统上运行的内容和每个进程使用的资源的关键。了解如何显示ps以任何方式提供的信息都是非常有用的,这些信息可以帮助您集中精力解决您要解决的问题。这样做的一个方面是能够按任何列对ps aux命令的输出进行排序,以突出显示特定的信息,例如

farwang 2020-11-25

如何在Fedora中安装VirtualBox

如果你对 Fedora Linux 感兴趣,这有几种方式可以尝试它。最简单还不影响你操作系统的方式是制作 Fedora 的 USB 临场启动盘。在 Linux 发行版的使用方式上,有一种可以无需安装而通过光盘或 USB 存储棒直接在计算机上启动完整的 Li

星愿心愿 2020-11-24

一篇带给你Linux磁盘管理和Shell编程

Linux磁盘管理常用三个命令为df、du和fdisk。列出文件系统的磁盘使用状况 - 「df」。磁盘分区表操作 - 「fdisk」。磁盘分区工具 - 「parted」。-c - 创建文件系统时检查磁盘损坏情况。-v - 显示详细信息。Shell脚本是一种

tianhuak 2020-11-24

Linux日志文件系统原来是这样工作的

文件系统要解决的一个关键问题是怎样防止掉电或系统崩溃造成数据损坏,在此类意外事件中,导致文件系统损坏的根本原因在于写文件不是原子操作,因为写文件涉及的不仅仅是用户数据,还涉及元数据包括 Superblock、inode bitmap、inode、data

zhjn0 2020-11-24

Linux环境变量配置全攻略

在自定义安装软件的时候,经常需要配置环境变量,下面列举出各种对环境变量的配置方法。export命令显示当前系统定义的所有环境变量。这两个命令执行的效果如下。使用export命令直接修改PATH的值,配置MySQL进入环境变量的方法:. 配置的环境变量中不要

昭君出塞 2020-11-23

自动解锁Linux上的加密磁盘

通过使用网络绑定磁盘加密,无需手动输入密码即可打开加密磁盘。从安全的角度来看,对敏感数据进行加密以保护其免受窥探和黑客的攻击是很重要的。要使用 LUKS 配置加密磁盘或分区,你需要使用cryptsetup工具。然而,网络绑定磁盘加密Network-Boun

bluecarrot 2020-11-23

Linux安装Nginx步骤详解

修改完成之后,重启nginx服务器.

liuchen0 2020-11-13

Linux安装Nginx步骤详解

修改完成之后,重启nginx服务器.

LUOPING0 2020-11-11

linux自动化交互脚本expect详解

expect脚本是Tcl脚本语言的拓展。用来实现自动的交互式任务,无需人为干预。在实际开发中,运行shell脚本有时候会输入linux密码或者是mysql密码等,而expect可以帮我们输入。timeout:timeout是expect脚本的内部变量,我们

linuxwcj 2020-10-21

Linux Shell 如何获取参数的方法

是显示最后命令的退出状态,0表示没有错误,其他表示有错误。不同点:$* 和 $@ 都表示传递给函数或脚本的所有参数,不被双引号(" ")包含时,都以"$1" "$2" …"$n"

以梦为马不负韶华 2020-10-20

Linux Shell脚本中获取本机ip地址方法

ifconfig -a|grep inet|grep -v 127.0.0.1|grep -v inet6|awk '{print $2}'|tr -d "addr:". 假设某个机器有192.*.*.8和10.*.*.*网段的IP,现

彼岸随笔 2020-10-20

Linux 中shell脚本设置开头固定格式的实现方法

每次进入shell都要设置开头,很麻烦,现修改vim配置文件即可。之后新建一个shell ,开头就会有固定的格式。这是在root用户下的配置,切换到用户使用shell 可能还是什么都没有,不过一般都是用root用户进行机器的管理。不加sudo 没有权限进入

yutou0 2020-10-17

浅析Linux之bash反弹shell原理

反弹shell往往是在攻击者无法直接连接受害者的情况下进行的操作,原因有很多,例如目标是局域网,或者开启防火墙的某些策略等情况,而这时,我们就可以让受害者主动向攻击者发起连接,被控端发起请求到控制端某端口,并将其命令行的输入输出转到控制端,从而实现交互。L

applecarelte 2020-10-16

linux反弹shell的原理详解

0代表输入 ,0>&1 意思是,将输出的窗口上所输入的值当作当前窗口的输入。反弹shell后会有两个窗口,即靶机的shell窗口跟攻击机的shell口。2代表标准错误输出。这是因为我们已经将所有的输出都重定向到了外部主机上,但问题是现在我们的

ourtimes 2020-10-16

Linux 通过 autojump 命令减少 cd 命令的使用的实现方法

Linux - 通过 autojump 命令减少 cd 命令的使用。在文件的最后 追加一行。这行代码在你安装的时候, 软件会提示你的,你复制上去就行。路径前面的数字,就是这个路径的权重值,权重值高的,如果找到多个时,优先进去。通过 j s 简写就可以快速进

waterhorse 2020-09-19

Linux下redis5.0.5的安装过程与配置方法

先将 redis-5.0.5 里的配置文件 redis.conf 移动到刚创建的 config 文件夹。 注释掉 bind 127.0.0.1 这一行。 将 protected-mode 属性改为 no

MRFENGG 2020-11-11

Redis概述及linux安装redis的详细教程

性能极高,Redis能读的速度是110000次/s,写的速度是81000次/s 。Redis支持数据的持久化,可以将内存中的数据保持在磁盘中,重启的时候可以再次加载进行使用。Redis不仅仅支持简单的key-value类型的数据,同时还提供list,set

rainandtear 2020-10-30

linux 常见的标识与Redis数据库详解

第一个 xxx 只的是 用户名。第二个 xxx 代表的是 HOST主机。查看当前命令所在的位置。drwxr-xr-x 2 xxx xxx 4096 9月 1 18:37 公共的。第一列由10个字符组成,由 0-9 标识每一个字符。7-9: 其他用户所对应的

kyssfanhui 2020-10-20

Aliyun Linux 编译安装 php7.3 tengine2.3.2 mysql8.0 redis5的过程详解

之前写过 CentOS 安装 PHP,MySQL,Nginx 的相关文章,具体介绍这里就不写了,直接上操作步骤.nginx rewrite依赖于PCRE库,所以在安装Tengine前一定要先安装PCRE,最新版本的PCRE可在官网获取。安装OpenSSL

liuhangtiant 2020-10-20

linux mint下安装phpstorm2020包括JDK部分的教程详解

环境:linux mint 20,一切都是最新的版本。都知道,PHPSTORM破解和运行都是离不开JDK/JRE的。接下来,放心大胆的去官网下载phpstorm。解压到你想要的地方。现在可以愉快的使用ps了。

lonesomer 2020-09-17
wking

wking

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号