認識與分析登錄檔
本文已不再維護,請參考 此處 新文章
最近更新日期:2003/02/11
什麼是登錄檔、幹嘛要分析登錄檔
Linux 登錄檔的規劃syslogd, 登錄檔的安全屬性設定, logrotate,
登錄檔分析dmesg, last,
VBird 寫的 logfile.sh
本章習題練習

什麼是登錄檔、幹嘛要分析登錄檔
這部分是最容易被新手所忽略的,那就是詳細而確實的紀錄或者是備份系統的登錄檔。什麼是登錄檔呢?簡單的說,就是記錄系統活動記錄的幾個檔案,例如:何時、何地(來源 IP )、何人( login name )、做了什麼動作,另外就是系統在什麼時候做了什麼樣的行為時,發生了什麼樣的事件等等,要知道的是,我們的 Linux 主機在背景之下,有相當多的 daemons 在工作著,那麼這些工作中的程序總是會有一些訊息顯示,這些顯示的訊息就是給記錄在登錄檔當中啦,也就是說,記錄這些系統的重要訊息,就是登錄檔所進行的紀錄工作的內容了。而由於這些記錄的工作內容對於系統的資訊太詳細了,若被取得將可能影響到系統的安全性,因此,通常這些登錄檔只有 root 可以進行視察的功能
那麼為何要記錄與解析登錄檔呢?這是由於記錄檔有幾個重要的功能: 因此,一個有經驗的主機管理員,會隨時隨地查閱一下自己的登錄檔,以隨時掌握系統的最新脈動!那麼見的幾個登錄檔有哪些呢?一般而言,有下面幾個: 好了,那麼記錄了這些登錄檔之後,我要做什麼分析呀!?基本上,一個好的系統管理員大概都知道『一部主機負責的服務最好能少盡量少』,這是什麼意思呢?也就是說,這部主機為郵件主機那麼就專門負責郵件工作,不要還搞 WWW 服務!這樣有幾個好處,除了系統的安全性較佳之外(因為開的 port 變少了!),記錄檔的解析也會比較簡單!因為我們的 /var/log/secure 記錄的登入者資訊就會比較有一致性!那麼我們就可以查詢一下每日登入的使用者帳號啦與錯誤訊息啦等等的!(當然囉,如果你的頻寬夠、經驗豐富的話,那麼一部主機上面安裝所有的網路服務也是可以的啦!)基本上,檢查/var/log/messages、/var/log/secure這些個檔案也就相當夠了!因為系統發生的錯誤或者是警告訊息通常都會寫入這個檔案中。
 
但是,如果我手邊有數十部主機怎麼辦?我要不要一部一部去察看 log file 呢?呵呵!那樣察看會死人ㄋㄟ?因此,我們底下也使用一個簡易的登錄檔來分析 Red Hat 或 Mandrake 這兩種 Linux distribution 的登錄檔吧!

Linux 登錄檔的規劃: syslogd, logrotate,

登錄檔分析

VBird 寫的 logfile.sh
本章習題練習 ( 要看答案請將滑鼠移動到『答:』底下的空白處,按下左鍵圈選空白處即可察看 )

2002/06/24:第一次完成
2003/02/11:重新編排與加入 FAQ