Linux 日志是系統運行狀態的重要記錄，包含了系統啟動、服務運行、用戶操作、安全事件等關鍵信息，對于故障排查、安全審計和系統維護至關重要。

• 故障排查：定位系統崩潰、服務異常的根本原因（如服務啟動失敗、硬件故障）。
• 安全審計：記錄用戶登錄、權限變更、可疑操作，追蹤潛在安全威脅。
• 性能分析：監控資源使用情況（如 CPU、內存、磁盤 I/O），優化系統配置。
• 操作回溯：記錄管理員操作歷史，確保操作可追溯。

Linux 日志的主要類型、存儲位置及作用

系統核心日志

• /var/log/messages：記錄系統內核、服務啟動 / 運行的通用消息，包含警告和錯誤信息。
• /var/log/dmesg：存儲系統啟動時的內核日志（如硬件檢測、驅動加載信息），可用dmesg命令查看。
• /var/log/boot.log：記錄系統啟動過程中 initramfs 和 systemd 的引導日志。
• /var/log/kern.log：單獨記錄內核相關的錯誤和警告（常見于 Debian/Ubuntu 系統）。

系統服務日志

• /var/log/ssh/sshd.log：SSH 服務的登錄記錄、認證失敗信息（安全審計重點）。
• /var/log/apache2/（或/var/log/httpd/）：Web 服務器（Apache/Nginx）的訪問日志和錯誤日志。
• /var/log/mysql/error.log：MySQL 數據庫的錯誤和運行日志。
• /var/log/syslog：通用系統服務日志（如 cron 任務、郵件服務），常見于 Debian/Ubuntu。

用戶登錄日志

• /var/log/wtmp：記錄所有用戶的登錄、注銷歷史，可用last命令查看。
• /var/log/btmp：記錄登錄失敗的嘗試，可用lastb命令查看。
• /var/log/utmp：記錄當前登錄的用戶，可用who/w命令查看。

安全與認證日志

• /var/log/audit/audit.log：Linux 審計系統（auditd）的日志，記錄權限變更、文件訪問等安全事件。
• /var/log/auth.log（Debian/Ubuntu）或 /var/log/secure（CentOS/RHEL）：認證相關日志（如 sudo 操作、密碼錯誤）。

系統資源與性能日志

• /var/log/sysstat/：存儲sysstat工具收集的系統性能數據（如 CPU、內存、磁盤使用情況）。
• /var/log/loadavg：記錄系統負載平均值（1 分鐘、5 分鐘、15 分鐘）。

Linux 日志查看、分析命令

通用查看：

• cat /var/log/messages：直接查看日志文件（適合小文件）。
• tail -f /var/log/syslog：實時追蹤日志更新。
• grep “error” /var/log/messages：篩選包含關鍵詞的日志。

systemd-journald 專用：

• journalctl：查看所有日志。
• journalctl -u sshd：僅查看 SSH 服務日志。
• journalctl --since “2025-06-10” --until “2025-06-12”：按時間范圍查詢。

通過 Bash 命令行可手動分析 Linux 日志，常用命令包括：

• cd /var/log/：切換工作目錄至/var/log/。
• head -n 20 ex.log：顯示文件前 20 行內容。
• tail -n 20 ex.log：顯示文件最后 20 行內容。
• grep “changed” ex.log（最常用）：在 ex.log 文件中搜索包含 “changed” 的行并打印。

Linux 日志查看與分析工具

EventLog Analyzer為 Linux 基礎設施提供全面的日志管理與分析能力，支持集中管理多臺 Linux 系統的日志、實時檢測安全威脅、滿足合規要求并簡化安全運維流程。

• 統一日志管理：通過集中式日志管理解決方案聚合、分析和可視化所有關鍵 Linux 日志。
• 主動威脅檢測：通過實時監控、高級關聯規則和機器學習驅動的異常檢測，更快發現并響應安全威脅，在暴力攻擊、權限提升和未授權訪問等風險升級前識別隱患。
• 簡化事件響應：關聯 Linux 日志源（系統日志、auth.log、應用日志等）的事件，可視化展示可疑活動時間線，并深入原始日志進行詳細分析。
• 提升運維效率：監控 Linux 服務器的資源利用率（CPU、內存、磁盤 I/O），監控服務狀態，借助實時洞察更快排查問題，從而提高系統可用性并降低 Linux 基礎設施的運維成本。
• 集中可視與控制：通過單一控制臺統一查看整個 Linux 環境，收集、分析和關聯服務器、工作站、應用和網絡設備的日志。
• 自動化事件響應：自動化事件響應工作流，檢測到威脅時立即執行操作（如禁用賬戶、阻斷 IP 或觸發其他動作）以降低風險。
• 簡化合規審計：輕松滿足合規要求，提供 PCI DSS、HIPAA、GDPR、SOX 等法規的預制報表和儀表盤，簡化合規審計流程。
• 簡化運維：通過自動化日志收集、解析和分析簡化日志管理，為 IT 團隊提供可操作的洞察和直觀儀表盤，使其專注于更具戰略性的任務。

Linux 日志分析應用

安全運維 (Security Operations)

通過分析用戶認證、文件系統訪問和權限使用模式，自動識別安全事件：

• SSH 暴力攻擊：檢測短時間內同一 IP 的多次 SSH 登錄失敗，識別潛在暴力破解行為。
• 權限提升嘗試：識別未經授權的提權行為（如濫用 sudo 命令）。
• 未授權訪問：標記來自異常位置或異常時間的可疑登錄。
• 惡意軟件活動：識別可疑文件修改或已知惡意軟件模式，防止進一步入侵。

活動監控 (Activity Monitoring)

通過專門的監控功能，全面了解Linux 系統，監控關鍵系統活動。包括：

• sudo 命令執行：確保特權用戶操作可追溯，檢測潛在濫用行為。
• SSH 登錄：跟蹤用戶登錄（成功 / 失敗）、源 IP 和時間戳，識別未經授權的訪問。
• 用戶賬戶修改：監控賬戶創建、刪除及密碼修改等操作。
• 系統事件：跟蹤系統啟動、關機、服務狀態變更（如 SSH、cron）等關鍵事件。
• 文件完整性監控（FIM）：防范未授權的文件訪問、修改或權限變更。

系統管理 (System Administration)

通過集中日志聚合和分析，以簡化系統管理任務。

• 監控配置變更：監控系統配置修改（如軟件包安裝與更新），確保穩定性并識別未授權變更。
• 監控服務狀態：實時告警服務故障與重啟，確保關鍵服務持續可用。
• 主動問題解決：關聯系統事件與性能問題，定位根本原因并在影響用戶前解決問題。
• 容量規劃：分析資源利用率（CPU、內存、磁盤空間）歷史數據，預測未來需求并規劃擴容。

用戶活動審計 (User Activity Auditing)

在 Linux 環境中維護詳細的用戶活動審計軌跡：

• 檢測潛在內部威脅：建立正常使用模式，識別可能存在惡意意圖的異常行為。
• 監控特權用戶操作：跟蹤所有高權限用戶行為（包括 sudo 使用和 SSH 會話）。
• 審計用戶登錄和注銷：跟蹤用戶登錄和注銷活動，包括成功和失敗的嘗試，以識別潛在的安全漏洞。