فایل های log رکورد هایی هستند که لینوکس برای مدیر سرورها نگه می دارد تا حوادث مهم در مورد سرور ، هسته ، خدمات و برنامه های در حال اجرا روی آن را ردیابی و نظارت کند. در این پست ، 12 مورد از مهمترین فایل های لاگ که مدیر سیستم باید روی آنها نظارت داشته باشد مانیتور کند را بررسی قرار میدهیم. این فایلها فایلهایی هستند که هر مدیر سیستمی باید آنها را مانیتور کند.

فایل های لاگ لینوکس چه فایلهایی هستند؟

فایل های log مجموعه ای از سوابق هستند که لینوکس برای پیگیری وقایع مهم در اختیار مدیران سیستم قرار می دهد. آنها حاوی پیام هایی در مورد سرور ، از جمله هسته ، سرویس ها و برنامه های کاربردی روی آن هستند.

لینوکس یک مخزن متمرکز از فایل های log را که می تواند در زیر فهرست (/var/log) قرار داشته باشد ، فراهم می کند.

فایل های ثبت شده در یک محیط لینوکس به طور معمول می توانند به چهار دسته مختلف طبقه بندی شوند:

• Application Logs (گزارش های کاربردی)
• Event Logs (گزارش های رویداد)
• Service Logs (گزارش های مربوط به سرویس)
• System Logs (گزارش های سیستمی)

چرا نظارت بر فایل های لاگ لینوکس

مدیریت لاگ بخش جدایی ناپذیر از مسئولیت هر مدیر سرور است که باید انجام دهد.

با نظارت بر فایل های log لینوکس ، می توانید بینش مفصلی در مورد عملکرد سرور ، امنیت ، پیام های خطا و موارد اساسی در سال بدست آورید. اگر می خواهید یک روش مناسب در مقابل یک اتفاق در  سرور در نظر بگیرید ، تجزیه و تحلیل منظم پرونده ورود به سیستم 100٪ مورد نیاز است.

به طور خلاصه ، فایل های log به شما امکان می دهند تا مسائل بعدی را پیش از وقوع آنها پیش بینی کنید.

کدام فایل های لاگ (گزارش) لینوکس را برای نظارت بر سیستم مداوم بررسی کنیم؟

نظارت و تحلیل همه آنها می تواند یک کار چالش برانگیز باشد.

حجم زیاد لاگ های مربوط گاهی اوقات می تواند بسیار خسته کننده و تقریبا غیر ممکن باشد.

برای اینکه این کار برای شما کمی ساده تر شود ، ما شما را با برخی از مهمترین فایل های ورود به سیستم لینوکس آشنا می کنیم که باید بر آنها نظارت داشته باشید. بهتر است این فایل ها را با یک ابزار قدرتمند مانیتور کنید تا از وقوع اخطار، خطا و موارد بحرانی در این فایلها شما را باخبر کند.

توجه: لطفاً توجه داشته باشید که این یک لیست کامل نیست – بلکه فقط زیر مجموعه ای از فایل ها است که بیشترین اهمیت را دارند. هرچه بیشتر بتوانید لاگها را بررسی کنید برای سلامتی سرور شما بهتر است.

لیست کمترین مواردی که باید بدون نقص نظارت شوند:

چه گزارش هایی اینجا قرار دارند؟

• این فایل های log شامل گزارش های مربوط به فعالیت عمومی سیستم عامل است.
• بیشترین کاربرد این لاگها دخیره پیام های غیر مهم و مهم سیستم عامل ها است.
• در سیستم های مبتنی بر دبیان ، فهرست لاگها در /var/log/syslog نقطه قرار دارد.و سرویس rsyslog داده های مسیر مورد نظر را پر می کند.

چگونه می توانید از این لاگها استفاده کنید؟:

• در اینجا می توان خطاهای رخ داده هنگام بوت لینوکس (که مربوط به هسته سیستم عامل نمی باشند)، خطاهای رخ داده توسط نرم افزار های کاربردی (applications) و خطاهای ارائه شده توسط سیستم عامل هنگام بالا آمدن  را مطالعه نمود.
• این پیام ها حاوی خطا هایی هستند که هر گاه سیستم عامل دچار مشکل شد باید توسط sysadmin ها مطالعه گردد.
• برای مثال اگر کارت صدای متصل به سیستم شما دچار مشکل شود، شما با بررسی لاگهای بوت مربوط به سیستم عامل بعد از راه اندازی مجدد سیستم عامل پیام هایی در این رابطه ببینید. اگر این پیام ها را پیدا کردید می توانید مشکلات خود را پیدا کنید.

چه گزارش هایی اینجا قرار دارند؟

• همه رویدادهای مربوط به تأیید اعتبار در دبیان و سرور اوبونتو در اینجا وارد شده اند.
• اگر به دنبال چیز دیگری در رابطه با مکانیسم مجوز کاربر هستید ، می توانید آن را در این پرونده ورود پیدا کنید.

چگونه می توانید از این لاگها استفاده کنید؟:

اگر مشکوک هستید که ممکن است یک نقض امنیتی در سرور شما رخ داده باشد و به یک فایل جاوا اسکریپت ککه در صفحه لاگین مشکوک هستید. فایلهای لاگ را در زمان های زیر بررسی کنید.پ

• رسیدگی به تلاش های نا موفق جهت ورود به سیستم.
• حملاتی که مربود به تلاش مداوم جهت ورود به سیستم شماست بررسی کنید و در صورت یافتن راه نفوذ آن را ببندید. و یافتن تلاشهای مداوم تنها با بررسی لاگها ممکن است.

چه گزارش هایی اینجا قرار دارند؟

توزیع های مبتنی بر RedHat و CentOS به جای

/var/log/auth.log

از این لاگ استفاده می کند.

• بیشتر برای ردیابی استفاده کنندگان از سیستم های مجوز لینوکس استفاده می شود.
• تمام تلاشهای ورود که با مشکل مواجه شده اند.
• همچنین ورود به سیستم با sudo را ردیابی می کند، ورود به سیستم SSH و سایر خطاهایی که توسط سرویس امنیتی سیستم عامل وارد شده اند.

چگونه می توانید از این لاگها استفاده کنید؟:

• همه رویدادهای تأیید اعتبار کاربر در اینجا وارد شده اند.
• می تواند برای شناسایی اقدامات احتمالی هک بسیار مفید باشد.
• همچنین اطلاعات مربوط به ورود به سیستم های موفق را ذخیره می کند و فعالیت های کاربران معتبر را ردیابی می کند.

چه گزارش هایی اینجا قرار دارند؟

اسکریپت اولیه سازی سیستم ، bootmic.sh می باشد و در مسیر

/etc/init.d/bootmisc.sh

قراردارد ، تمام پیام های راه اندازی را به این پرونده ورود ارسال می کند

• این مخزن اطلاعات مرتبط با بوت سیستم عامل و پیامهای مرتبط با آن در فرآیند راه اندازی سیستم است.

چگونه می توانید از این لاگها استفاده کنید؟:

• برای بررسی مسائل مربوط به خاموش کردن نامناسب ، راه اندازی مجدد برنامه ریزی نشده یا خرابی در بوت شدن ، باید این پرونده log را تجزیه و تحلیل کنید.
• همچنین می تواند برای تعیین مدت زمان خرابی سیستم ناشی از خاموش شدن غیر منتظره مفید باشد.

چه گزارش هایی اینجا قرار دارند؟

• این پرونده log شامل پیام های بافر حلقه هسته لینوکس است.
• اطلاعات مربوط به دستگاه های سخت افزاری و درایورهای آنها در اینجا وارد شده اند.
• از آنجا که هسته در طی فرآیند بوت شدن ، دستگاههای سخت افزاری فیزیکی مرتبط با سرور را تشخیص می دهد ، وضعیت دستگاه ، خطاهای سخت افزاری و سایر پیام های عمومی را ضبط می کند.

چگونه می توانید از این لاگها استفاده کنید؟:

• این پرونده log بیشتر برای سرور های اختصاصی مفید است.
• اگر یک سخت افزار خاص به صورت ناصحیح کار می کند یا ردیابی نشده است ، می توانید برای عیب یابی این مشکل به این فایل log اعتماد کنید.

چه گزارش هایی اینجا قرار دارند؟

• این یک پرونده log بسیار مهم است زیرا حاوی اطلاعاتی است که توسط هسته وارد شده است.

چگونه می توانید از این لاگها استفاده کنید؟:

• ایده آل برای عیب یابی خطاها و هشدارهای مربوط به هسته لینوکس.
• گزارش های هسته می توانند برای عیب یابی هسته سفارشی مفید باشند.
• همچنین برای اشکال زدایی در زمینه سخت افزار و اتصالات می تواند مفید باشد.

چه گزارش هایی اینجا قرار دارند؟

• این پرونده حاوی اطلاعات مربوط به تلاشهای ورود به سیستم ناموفق است.

چگونه می توانید از این لاگها استفاده کنید؟:

• این مورد می تواند یک پوشه مفید برای یافتن هرگونه نقض امنیتی اقدام شده در مورد هک نام کاربری / رمز عبور و حملات brute-force باشد.

چه گزارش هایی اینجا قرار دارند؟

• این پرونده log اطلاعات مربوط به سرویس cron و job های صورت گرفته توسط این سرویس را ثبت می کند.

چگونه می توانید از این لاگها استفاده کنید؟:

• هر زمان که کار cron  اجرا شود ، این پرونده log اطلاعات مربوط به job  از جمله اجرای موفقیت آمیز و پیام های خطا (در صورت عدم موفقیت) را ثبت می کند.
• اگر در رابطه با زمانبندی سیستم عامل خود مشکلی دارید، باید این پرونده لاگ را بررسی کنید.

چه گزارش هایی اینجا قرار دارند؟

• شامل اطلاعاتی است که هنگام نصب بسته جدید با استفاده از دستور yum ثبت می شود.

چگونه می توانید از این لاگها استفاده کنید؟:

• اطلاعات مربوز به نصب کامپوننت های سیستم و بسته های نرم افزاری را ثبت می کند.
• پیام های وارد شده در اینجا را بررسی کنید تا ببینید آیا بسته به درستی نصب شده است یا نه.
• به شما در رفع مشکلات مربوط به نصب نرم افزار کمک می کند.

فرض کنید سرور شما به طور غیرمعمول رفتار می کند و شما به یک بسته نرم افزاری که اخیراً نصب شده است مضنون هستید که ممکن است دلیل اصلی این مسئله باشد. در چنین مواقعی می توانید این فایل log را برای یافتن بسته هایی که اخیراً نصب شده اند ، بررسی کنید و خرابی را شناسایی کنید.

چه گزارش هایی اینجا قرار دارند؟

• تمام گزارش های مربوط به سرور (همان سرویس) پست الکترونیکی در اینجا ذخیره می شوند.

چگونه می توانید از این لاگها استفاده کنید؟:

• اطلاعاتی در مورد postfix ، smtpd ، MailScanner ، SpamAssassain یا سایر خدمات مرتبط با ایمیل در حال اجرا بر روی سرور پست الکترونیکی  را در اینجا پیدا کنید.
• تمام ایمیلهایی را که طی یک دوره خاص ارسال یا دریافت شده اند ، ردیابی کنید
• بررسی نامه هایی که در ارسال با مشکل مواجه شده اند.
• اطلاعات مربوط به تلاشهای مرتبط با هرزنامه هایی  که توسط سرور پست مسدود شده اند را از اینجا بررسی کنید.
• با موشکافی این پرونده ورود ، منشأ یک ایمیل دریافتی را ردیابی کنید.

چه گزارش هایی اینجا قرار دارند؟

• این پوشه شامل گزارش های ضبط شده توسط سرور Apache است.
• اطلاعات سیستم سرور آپاچی در دو پرونده ورود error_log و access_log ذخیره می شوند.

چگونه می توانید از این لاگها استفاده کنید؟:

• error_log حاوی پیام های مربوط به خطاهای httpd (آپاچی) مانند مشکلات حافظه و سایر خطاهای مرتبط با سیستم است.
• مکانی است که سرور Apache وقایع و سوابق خطایی را که هنگام پردازش درخواست های httpd با آنها مواجه می شود را می نویسد.
• اگر مشکلی در وب سرور آپاچی پیش آمد ، این اطلاعات را برای تشخیص اشکال پیش آمده بررسی کنید.
• علاوه بر پرونده error-log ، آپاچی لیست جداگانه ای از Access_log را نیز در خود نگه می دارد.
• کلیه درخواستهای دسترسی دریافت شده از طریق HTTP در پرونده Access_log ذخیره می شوند.
• به شما کمک می کند تا هر صفحه ارائه شده و هر پرونده بارگذاری شده توسط Apache را ردیابی کنید.
• آدرس IP و شناسه کاربری کلیه مشتریانی که درخواست اتصال به سرور می کنند را وارد می کند.
• اطلاعات مربوط به وضعیت درخواست های دسترسی را ذخیره می کند ، حال چه پاسخ با موفقیت آمیز باشد یا درخواست منجر به عدم موفقیت شده باشد.

چه گزارش هایی اینجا قرار دارند؟

• همان گونه که از نامش پیدا است فایل های لاگ MySQLرا در اینجا نگهداری می کند.
• تمام اطلاعیه های مربوط به موفقیت آمیز بودن دسترسی (success messages)، شکست ها (failure) و خطا ها (debug) در این مسیر نگهداری می شوند.
• مکان نگهداری به نسبت توزیع لینوکس:
  • RedHat ، CentOS و Fedora فایلهای لاگ خود را در مسیر:

/var/log/mysqld.log

• • Debian و Ubuntu نیز در مسیر:

/var/log/mysql.log

چگونه می توانید از این لاگها استفاده کنید؟:

• برای شناسایی مشکلات هنگام شروع ، اجرا یا متوقف کردن mysqld از این گزارش استفاده کنید.
• در مورد اتصالات client در ارتباط با داده های MySQL با مشکل مواجه شدید، اطلاعات اینجا را بررسی کنید.
• همچنین با تنظیم کردن پارامتر long_quesy_time میتوانید لاگهایی که در مورد قفل های query و query هایی که کند اجرا می شوند را هم بررسی کنید.

کلام نهایی:

بررسی این فایلهای لاگ بصورت دستی بسیار سخت و طاقت فرسا است. از این رو باید از ابزار های مانیتورینگ استفاده شود تا به جای شما آنها را بررسی کرده و گزارش خطاها را به اطلاع شما برساند. در صورتی که خود شما بخواهید این سیستم ها را راه اندازی کنید باید یک کارشناس حرفه ای داشته باشید. در صورتی تمایل کارشناسان مجموعه تحلیل یار می توانند شما را در این راه یاری کنند.