目录
- 日志用来记录系统、程序运行中发生的各种事件,有助于定位问题的根本原因。
- 不同的操作系统、程序都有不同的日志,
如:Linux系统日志、Windows系统日志、MySQL数据库日志、mssql数据库日志以及
各种WEB日志(如apache、tomcat、nginx日志等)
Windows事件日志分类
系统日志、应用程序日志、安全日志
Windows日志分析方法
1.查看管理员登陆时间、用户名是否存在异常
(1)不借助工具
开始——>所有程序——>管理工具——>事件查看器
window+R,输入“eventvwr.msc”,进入事件查看器
对于Windows事件日志分析,不同的EVENT ID 代表不同意义,每个成功登录的事件都会标记一个登录类型,不同登陆类型代表不同方式。
事件ID 说明 4624 登陆成功 4625 登陆失败 4634 注销成功 4647 用户启动的注销 4672 使用超级用户(如,管理员)进行登录 4720 创建用户
登陆类型 描述 说明 2 交互式登录 用户在本地进行登录 3 网络 最常见的情况就是连接到共享文件夹或共享打印机 4 批处理 通常表明某计划任务启动 5 服务 每种服务都被配置在某个特定的用户账号下运行 7 解锁 屏保解锁 8 网络明文 登录的密码在网络上是通过明文传输的,如FTP 9 新凭证 使用带/Netonly参数的RUNAS命令运行一个程序 10 远程交互 通过终端服务,远程桌面或远程协助访问计算机 11 缓存交互 以一个域用户登录而又没有域控制器可用 2.借助工具Event Log Explorer
Linux日志简介
Linux日志默认存放位置:/var/log/
查看日志配置情况:more/etc/rsyslog.conf
Linux日志分析技巧
grep(egrep)、awk、sed文本编辑三剑客,可以按照用户的需求,过滤出用户有价值的信息
第一条:查找登录root账号失败的事件,从/var/log/secure文件中,只显示第11行信息(ip),然后排序sort,去重计数,再排序,more分屏显示。
Web服务器日志(windows)
Web服务器为例,其日志包括:安全日志、系统日志、应用程序日志、WWW日志、FTP日志等。eventvwr.msc打开事件查看器进行查看。
(1).安全日志文件:C:\WINDOWS\system32\config\SecEvent.Evt
(2).系统日志文件:C:\WINDOWS\system32\config\SysEvent.Evt
(3).应用程序日志文件:C:\WINDOWS\system32\config\AppEvent.Evt
(4).FTP日志默认位置:C:\WINDOWS\system32\Logfiles\MSFTPSVC1
(5).WWW日志默认位置:C:\WINDOWS\system32\Logfiles\W3SVC1
补充:
以上都是单机模式,如果架构比较大的时候,n台服务器,需要用一个log server统一管理日志。
ELK
logstash负责对日志进行过滤,Elasticsearch对日志处理,Kibana通过图像界面展示出来
图片非原创,视频学习时截取,方便自己查看