Ein Log-Datei archiviert Aufzeichnungen von Ereignissen (eine Historie dessen, was auf Ihrem System passiert ist). Diese sind gewöhnlich ereignisspezifisch. Das bedeutet, dass Betriebssysteme viele verschiedene Log-Dateien verwalten, jede mit einer spezifischen Art von Informationen.
Aber warum?
Nun, es ist viel einfacher, Probleme zu beheben, wenn man Informationen isolieren kann.
Zum Beispiel könnte eine Log-Datei Systemstart-Ereignisse protokollieren, sodass Sie Startfehler nachverfolgen können, während eine andere Log-Datei Authentifizierungsereignisse aufzeichnet, um An- und Abmeldungen zu verfolgen.
Das Wissen, wo jede Log-Datei zu finden ist und welche Informationen sie enthält, ist wichtig für die Systemwartung und Fehlerbehebung.
Um zu verstehen, welche Log-Dateien für Ihre spezifische Linux-Distribution verfügbar sind und wo sie verwaltet werden, werfen wir einen kurzen Blick auf die beliebtesten Distributionen. Dies wird Ihnen einen Überblick darüber geben, wie Log-Dateien von einer Distribution zur nächsten variieren können.
Lassen Sie uns Popularität auf zwei Arten bestimmen – die erste Methode besteht darin, zu zeigen, welche Systeme Menschen auf virtuellen Maschinen mit Amazon Web Services (AWS) betreiben. Da AWS 40% des Cloud-Marktes im Internet kontrolliert, ist dies eine breite Datenmetrik, die uns gut dient.
Der zweite Weg besteht darin, Google Trends zu befragen, das uns relative Suchdaten liefert. Mit anderen Worten, wir vergleichen Linux-Distributionen miteinander innerhalb der Google-Suche, um zu sehen, wie sie sich einstufen.
(#1/2) Linux-Distributionen auf Amazon Web Services
(#2/2) Linux-Distributionen nach Google-Suche
Wie wir aus den obigen zwei Grafiken ersehen können, ist Ubuntu die führende Linux-Distribution. Technologen, Sicherheitsberater, Intrusionsspezialisten usw. sollten dies beachten, da sie wahrscheinlich auf ein Ubuntu-Betriebssystem stoßen werden.
Beachten Sie jedoch, dass Ubuntu von Debian Linux abgeleitet ist, so dass alle folgenden Distributionen wahrscheinlich an den gleichen Orten Log-Dateien führen, sofern keine Anpassungen vorgenommen wurden.
Auf Debian basierende Linux-Distributionen
- BackTrack and Kali Linux (developed by Offensive Security for penetration testing; BackTrack was rebuilt using Debian Linux and was renamed Kali Linux)
- Parsix
- PureOS
- Ubuntu
Linux-Distributionen, die auf der obigen AWS-Grafik präsent und nach Beliebtheit geordnet sind:
- Ubuntu
- Debian
- Fedora
- CentOS
- RedHat
- Suse
- Gentoo
- Arch Linux
- OpenSolaris
- Slackware
Wo werden Log-Dateien auf Linux gespeichert?
Die unten aufgeführten Log-Dateien sind Standardorte für die meisten Linux-Distributionen. Bedenken Sie jedoch, dass Sie die Orte und sogar Dateinamen ändern können, indem Sie den Log-Manager Ihrer Plattform anpassen.
Zur Orientierung verwenden die meisten Linux-Distributionen einen von drei Log-Managern: syslog, syslog-ng oder rsyslog.
Ubuntu verwendet standardmäßig rsyslog und Sie können Änderungen über die Konfigurationsdatei /etc/rsyslog.conf vornehmen.
Allgemeine Systemaktivitäts-Ereignisse
/var/log/messages/var/log/syslog (auf Debian-basierten Linux-Systemen)
Startbezogene Ereignisse
/var/log/boot.log
Speichert Startnachrichten und Informationen zum Systemstart.
Kernel Ringpuffer-Ereignisse
/var/log/dmesg
Speichert Nachrichten für Gerätetreiber.
Kernel-bezogene Ereignisse
/var/log/kern.log
Speichert Kernel-Protokolle und Warninformationen.
Authentifizierungsbezogene Ereignisse
/var/log/auth.log/var/log/secure (auf RedHat und CentOS)
Speichert Nachrichten von erfolgreichen Anmeldungen, fehlgeschlagenen Anmeldeversuchen und Authentifizierungsprozess-Ereignissen.
Fehlgeschlagene Anmeldeversuche
/var/log/faillog
Speichert Nachrichten von fehlgeschlagenen Anmeldeversuchen. Überprüfen Sie hier auf Brute-Force-Angriffe.
Mit Cron verbundene Ereignisse
/var/log/cron
Behält die Nachrichten für Cron-Jobs bei.
Apache Ereignisse
/var/log/httpd/
MySQL Ereignisse
/var/log/mysqld.log/var/log/mysql.log
Ereignisse in Verbindung mit dem Advanced Package Tool (APT)
/var/log/apt/history.log/var/log/dpkg.log
Ereignisse im Zusammenhang mit dem Yellowdog Updater, Modified (YUM)
/var/log/yum.log
Ereignisse im Zusammenhang mit E-Mails
/var/log/maillog/var/log/mail.log
Eingeloggte Benutzer
/var/run/utmp
Diese Datei ist eine Binärdatei und wird mit dem Befehl “who” aufgerufen.
root@server:/# whoubuntu pts/0 2020-05-01 20:12 (1.2.3.4)
Alle vorherigen Anmeldungen und Abmeldungen
/var/log/wtmp
Diese Datei ist eine Binärdatei und wird mit dem Befehl “last” aufgerufen.
root@server:/# lastubuntu pts/0 1.2.3.4 Do Sep 12 21:51 – 22:24 (00:32)ubuntu pts/0 1.2.3.4 Fr Sep 6 20:51 – 23:07 (02:15)wtmp startet Fr Sep 6 20:51:36 2019
Nur fehlgeschlagene Anmeldeversuche
/var/log/btmp
Es gibt zwei Methoden, um diese binäre Datei zu lesen — Sie können den “last” Befehl mit dem “-f” Schalter für Datei verwenden, und Sie können den “lastb” Befehl verwenden.
root@server:/# last -f /var/run/btmp
root@server:/# lastb
Letzter Login der Benutzer
/var/log/lastlog
Diese Datei ist eine Binärdatei und wird mit dem Befehl “lastlog” aufgerufen.
root@server:/# lastlog
