一�、日志文件位置
CentOS日志主要存放在/var/log目錄�,常見文件包括:
- 系統日志:
/var/log/messages
- 安全日志:
/var/log/secure
- 啟動日志:
/var/log/boot.log
- 應用日志:如
/var/log/httpd/(Web服務)�����、/var/log/mysql/(數據庫)
二����、常用分析命令
- 基礎查看
journalctl:查看systemd日志�����,支持按服務(-u)���、時間段(--since/--until)過濾��。tail -f:實時查看日志末尾內容��,適合監控實時日志�。
- 文本搜索
grep "關鍵字" 文件:搜索特定關鍵詞����,如grep "ERROR" /var/log/messages�。grep -E "正則表達式":支持正則匹配多個關鍵詞�。
- 文本處理
awk:提取特定字段�����,如awk '{print $1,$3}' /var/log/messages�。sed:替換或刪除文本���,如sed 's/old/new/g' /var/log/messages��。
三�����、高級分析技巧
- 日志輪轉管理:使用
logrotate工具自動清理舊日志�,避免磁盤占滿��。
- 實時監控與告警:結合
inotifywait監控日志變化���,或通過Nagios等工具設置異常告警��。
- 安全事件分析:通過
/var/log/audit/audit.log分析系統調用�、文件訪問等行為��,識別潛在入侵�。
四���、工具推薦
- ELK Stack:用于大規模日志的集中分析�����,支持可視化��。
- Splunk:企業級日志管理工具���,提供強大的搜索和告警功能�。
