Log failid Ubuntus: Difference between revisions
(22 intermediate revisions by the same user not shown) | |||
Line 1: | Line 1: | ||
Autor: Lauri Palkmets | Autor: Lauri Palkmets | ||
Ubuntu operatsioonisüsteem annab erinevate logifailide abil edasi olulist teavet. | Ubuntu operatsioonisüsteem annab erinevate logifailide abil edasi olulist teavet. | ||
Line 8: | Line 5: | ||
Need logifailid on tavaliselt lihtsas ASCII tekstiformaadis, ning enamik neist asuvad traditsioonilises süsteemikataloogis '''/var/log'''. Paljud neist on loodud süsteemi logi ''daemoni'' ja ''syslogd'' 'i poolt. Mõned rakendused loovad oma logi, kirjutades otse ''/var/log'' all asuvatesse failidesse. | Need logifailid on tavaliselt lihtsas ASCII tekstiformaadis, ning enamik neist asuvad traditsioonilises süsteemikataloogis '''/var/log'''. Paljud neist on loodud süsteemi logi ''daemoni'' ja ''syslogd'' 'i poolt. Mõned rakendused loovad oma logi, kirjutades otse ''/var/log'' all asuvatesse failidesse. | ||
== | == Authentication log == | ||
''Authentication log'' ehk autentimiste logi jälgib autenditavate süsteemide kasutamist. Sinna hulka kuuluvad rakendused, mis võimaldavad küsida enne ligipääsu paroole (näiteks kaug-sisselogimiseks kasutatav ssh). Sealt on võimalik jälgida kasutajate sisselogimisi ning sudo käsu kasutamist. | |||
Autentimise logi asub '''/var/log/auth.log'''. | Autentimise logi asub '''/var/log/auth.log''' failis. | ||
Line 20: | Line 17: | ||
Tulemuseks on ainult read, kus on kirjas ''sudo'' kasutamine. ''grep'' 'i väljund suunatakse ''less'' 'i | Tulemuseks on ainult read, kus on kirjas ''sudo'' kasutamine. ''grep'' 'i väljund suunatakse ''less'' 'i | ||
== Daemon | == Daemon log == | ||
''Daemon'' on programm, mis töötab taustal (ei vaja kasutaja sekkumist), tagamaks süsteemi nõuetekohane toimimine. ''Daemon'' 'i logi sisaldab teavet töötavate süsteemi- ja rakendusdaemonite kohta. Näiteks: | ''Daemon'' on programm, mis töötab taustal (ei vaja kasutaja sekkumist), tagamaks süsteemi nõuetekohane toimimine. ''Daemon'' 'i logi sisaldab teavet töötavate süsteemi- ja rakendusdaemonite kohta. Näiteks: | ||
Line 28: | Line 25: | ||
''Daemon'' 'i logi asub '''/var/log/daemon.log''' | ''Daemon'' 'i logi asub '''/var/log/daemon.log''' failis. | ||
== Debug | == Debug log== | ||
''Debug log'' ehk silumislogi on mõeldud abistamaks programmivigade avastamiseks, lokaliseerimsieks ja kõrvaldamiseks. Silumislogi pakub detailseid silumisteateid Ubuntu süsteemist ning rakendustest, mis logivad ''syslogd'' abil '''debug''' tasemel. | ''Debug log'' ehk silumislogi on mõeldud abistamaks programmivigade avastamiseks, lokaliseerimsieks ja kõrvaldamiseks. Silumislogi pakub detailseid silumisteateid Ubuntu süsteemist ning rakendustest, mis logivad ''syslogd'' abil '''debug''' tasemel. | ||
Silumislogi asub '''/var/log/debug''' | Silumislogi asub '''/var/log/debug''' failis. | ||
== | == Kernel log == | ||
Kerneli ehk tuuma logi annab üksikasjalikke logisõnumeid Ubuntu linuxi tuuma kohta. Need sõnumid võivad osutuda kasulikuks, lahendades muresid uute või kohandatud tuumadega. | Kerneli ehk tuuma logi annab üksikasjalikke logisõnumeid Ubuntu linuxi tuuma kohta. Need sõnumid võivad osutuda kasulikuks, lahendades muresid uute või kohandatud tuumadega. | ||
Line 44: | Line 41: | ||
Kerneli ehk tuuma logi asub '''/var/log/kern.log''' failis. | Kerneli ehk tuuma logi asub '''/var/log/kern.log''' failis. | ||
== Sõnumilogi == | == Message log == | ||
''Message log'' ehk sõnumilogi sisaldab infosõnumeid rakendustest ning süsteemi teenustest. | |||
Sõnumilogi ning asub '''/var/log/messages''' failis. | |||
== Syslog == | |||
''Syslog'' ehk süsteemilogi sisaldab tavaliselt kõige rohkem informatsiooni Ubuntu süsteemi kohta. See võib sisaldada informatsiooni, mida teised logid ei sisalda. Pöördu süsteemilogi poole, kui sa ei suuda muudest logikirjetest informatsiooni leida. | |||
''Syslog'' asub '''/var/log/syslog''' fails. | |||
== | == Erinevate rakenduste poolt tekitatud logid == | ||
Paljud rakendused tekitavad logi kataloogi /var/log | Paljud rakendused tekitavad oma logi kataloogi /var/log all olevatesse alamkataloogidesse | ||
===Rootkit Hunter logi=== | |||
Rootkit Hunter on rakendus (rkhunter) mis kontrollib Ubuntu süsteemi salauste, nuuskurite ning ''rootkit'' 'ide (juurkomplekt??) vastu. | |||
Selle rakenduse logi asub '''/var/log/rkhunter.log''' fails. | |||
===Apache | === Apache veebiserveri logi === | ||
Vaikimisi installeerides loob Apache | Vaikimisi installeerides loob Apache kettalse alamkataloogi '''/var/log/apache2'''. Selles kataloogis asuvad kahte erinevat tüüpi logifailid | ||
* '''/var/log/apache2/access.log''' - kirjes lehele tehtud päringute kohta | |||
* '''/var/log/apache2/error.log''' - kirjed lehel esinenud vigade kohta | |||
Vaikimisi, iga kord, kui Apache pöördub faili või lehekülje poole, moodustatakse logikirje, mis sisaldab päringu tegija IP aadressi, kellaaega, kuupäeva, veebilehitseja identifitseerimiskirjet, HTTP tulemus koodi ning konkreetset päringuteksti (tavaliselt GET päring mingi lehekülje vaatamiseks). | |||
===Samba SMB serveri logi=== | |||
Server Message Block Protocol (SMB) server (ehk Samba) on suuresti kasutuses failide jagamiseks SMB protokolli toetavate arvutite vahel. | |||
Samba hoiab '''/var/log/samba''' kataloogis kahte erinevat tüüpi logisid: | |||
* '''/var/log/samba/log.nmbd''' - sõnumid, mis on seotud Samba NETBIOS üle IP funktsionaalsusega | |||
* '''/var/log/samba/log.smbd''' - sõnumid, mis on seotud Samba SMB/CIFS funktsionaalsusega (failid ning printimine) | |||
==Inimsilmaga mitteloetavad logid== | |||
Osad '''/var/log''' kataloogis asuvad logifailid, on mõeldud ainult spetsiaalsete rakenduste poolt lugemiseks. Järgnevalt mõned näited. | |||
=== faillog === | |||
''faillog'' ehk ebaõnnestunud sisselogimiste log asub '''/var/log/faillog''' failis. | |||
Selle faili kuvamiseks on mõeldud programm '''faillog'''. | |||
Näide - kuvame ebaõnnestunud sisselogimiste info kõigi kasutajate kohta kasutades käsku '''faillog -a''': | |||
Login Failures Maximum Latest On | |||
root 0 0 01/01/70 03:00:00 +0300 | |||
daemon 0 0 01/01/70 03:00:00 +0300 | |||
bin 0 0 01/01/70 03:00:00 +0300 | |||
sys 0 0 01/01/70 03:00:00 +0300 | |||
sync 0 0 01/01/70 03:00:00 +0300 | |||
games 0 0 01/01/70 03:00:00 +0300 | |||
man 0 0 01/01/70 03:00:00 +0300 | |||
lp 0 0 01/01/70 03:00:00 +0300 | |||
mail 0 0 01/01/70 03:00:00 +0300 | |||
news 0 0 01/01/70 03:00:00 +0300 | |||
uucp 0 0 01/01/70 03:00:00 +0300 | |||
proxy 0 0 01/01/70 03:00:00 +0300 | |||
www-data 0 0 01/01/70 03:00:00 +0300 | |||
backup 0 0 01/01/70 03:00:00 +0300 | |||
list 0 0 01/01/70 03:00:00 +0300 | |||
irc 0 0 01/01/70 03:00:00 +0300 | |||
gnats 0 0 01/01/70 03:00:00 +0300 | |||
nobody 0 0 01/01/70 03:00:00 +0300 | |||
libuuid 0 0 01/01/70 03:00:00 +0300 | |||
syslog 0 0 01/01/70 03:00:00 +0300 | |||
sshd 0 0 01/01/70 03:00:00 +0300 | |||
landscape 0 0 01/01/70 03:00:00 +0300 | |||
martin 0 0 01/01/70 03:00:00 +0300 | |||
=== lastlog === | |||
''lastlog'' ehk viimaste sisselogimisete logi asub '''/var/log/lastlog''' fails. | |||
Selle faili kuvamiseks on mõeldud programm lastlog. | |||
lastlog | Näide - kuvame käsu '''lastlog''' abil kõigi kasutajate viimased sisselogimised: | ||
Username Port From Latest | |||
root pts/0 itk-gw.itcollege Fri Jun 11 12:15:49 +0300 2010 | |||
daemon **Never logged in** | |||
bin **Never logged in** | |||
sys **Never logged in** | |||
sync **Never logged in** | |||
games **Never logged in** | |||
man **Never logged in** | |||
lp **Never logged in** | |||
mail **Never logged in** | |||
news **Never logged in** | |||
uucp **Never logged in** | |||
proxy **Never logged in** | |||
www-data **Never logged in** | |||
backup **Never logged in** | |||
list **Never logged in** | |||
irc **Never logged in** | |||
gnats **Never logged in** | |||
nobody **Never logged in** | |||
libuuid **Never logged in** | |||
syslog **Never logged in** | |||
sshd **Never logged in** | |||
landscape **Never logged in** | |||
martin pts/0 192.168.1.23 Wed Jun 9 11:18:44 +0300 2010 | |||
=== | === wtmp === | ||
Fail '''/var/log/wtmp''' sisaldab samuti kirjeid sisselogimiste kohta, kuid erinevalt ''lastlog'' logist on seal kirjas konkreetsel ajahetkel süsteemi sisseloginute nimed. | |||
wtmp logi kuvamiseks on käsklus who. | |||
Näide: | |||
root pts/0 2010-06-11 12:15 (itk-gw.itcollege.ee) | |||
martin pts/1 2010-06-11 12:26 (itk-gw.itcollege.ee) | |||
== | ==System Log Viewer== | ||
Ubuntus on olemas graafiline võimalus logifailide vaatamiseks | Ubuntus on olemas graafiline võimalus logifailide vaatamiseks - System Log Viewer. Selle asukoht on System => Administration => Log File Viewer | ||
[[Image:Logifailid.png]] | [[Image:Logifailid.png]] | ||
Rakendus võimaldab kasutajale head ülevaadet Ubuntus asuvatest logidest | Rakendus võimaldab kasutajale head ülevaadet Ubuntus asuvatest logidest (näiteks annab võimaluse vaadata logisid päevade lõikes, rakendada filtreid kasutades regulaaravaldisi, jpm...). | ||
=Kasutatud kirjandus= | =Kasutatud kirjandus= |
Latest revision as of 11:42, 11 June 2010
Autor: Lauri Palkmets
Ubuntu operatsioonisüsteem annab erinevate logifailide abil edasi olulist teavet.
Need logifailid on tavaliselt lihtsas ASCII tekstiformaadis, ning enamik neist asuvad traditsioonilises süsteemikataloogis /var/log. Paljud neist on loodud süsteemi logi daemoni ja syslogd 'i poolt. Mõned rakendused loovad oma logi, kirjutades otse /var/log all asuvatesse failidesse.
Authentication log
Authentication log ehk autentimiste logi jälgib autenditavate süsteemide kasutamist. Sinna hulka kuuluvad rakendused, mis võimaldavad küsida enne ligipääsu paroole (näiteks kaug-sisselogimiseks kasutatav ssh). Sealt on võimalik jälgida kasutajate sisselogimisi ning sudo käsu kasutamist.
Autentimise logi asub /var/log/auth.log failis.
grep käsu abil saame logi lugemise efektiivsemaks muuta. Näiteks:
grep sudo /var/log/auth.log | less
Tulemuseks on ainult read, kus on kirjas sudo kasutamine. grep 'i väljund suunatakse less 'i
Daemon log
Daemon on programm, mis töötab taustal (ei vaja kasutaja sekkumist), tagamaks süsteemi nõuetekohane toimimine. Daemon 'i logi sisaldab teavet töötavate süsteemi- ja rakendusdaemonite kohta. Näiteks:
- Gnome Display Manager daemon gdm
- Bluetooth HCI daemon hcid
- MySQL andmebaasi daemon mysqld.
Daemon 'i logi asub /var/log/daemon.log failis.
Debug log
Debug log ehk silumislogi on mõeldud abistamaks programmivigade avastamiseks, lokaliseerimsieks ja kõrvaldamiseks. Silumislogi pakub detailseid silumisteateid Ubuntu süsteemist ning rakendustest, mis logivad syslogd abil debug tasemel.
Silumislogi asub /var/log/debug failis.
Kernel log
Kerneli ehk tuuma logi annab üksikasjalikke logisõnumeid Ubuntu linuxi tuuma kohta. Need sõnumid võivad osutuda kasulikuks, lahendades muresid uute või kohandatud tuumadega.
Kerneli ehk tuuma logi asub /var/log/kern.log failis.
Message log
Message log ehk sõnumilogi sisaldab infosõnumeid rakendustest ning süsteemi teenustest.
Sõnumilogi ning asub /var/log/messages failis.
Syslog
Syslog ehk süsteemilogi sisaldab tavaliselt kõige rohkem informatsiooni Ubuntu süsteemi kohta. See võib sisaldada informatsiooni, mida teised logid ei sisalda. Pöördu süsteemilogi poole, kui sa ei suuda muudest logikirjetest informatsiooni leida.
Syslog asub /var/log/syslog fails.
Erinevate rakenduste poolt tekitatud logid
Paljud rakendused tekitavad oma logi kataloogi /var/log all olevatesse alamkataloogidesse
Rootkit Hunter logi
Rootkit Hunter on rakendus (rkhunter) mis kontrollib Ubuntu süsteemi salauste, nuuskurite ning rootkit 'ide (juurkomplekt??) vastu.
Selle rakenduse logi asub /var/log/rkhunter.log fails.
Apache veebiserveri logi
Vaikimisi installeerides loob Apache kettalse alamkataloogi /var/log/apache2. Selles kataloogis asuvad kahte erinevat tüüpi logifailid
- /var/log/apache2/access.log - kirjes lehele tehtud päringute kohta
- /var/log/apache2/error.log - kirjed lehel esinenud vigade kohta
Vaikimisi, iga kord, kui Apache pöördub faili või lehekülje poole, moodustatakse logikirje, mis sisaldab päringu tegija IP aadressi, kellaaega, kuupäeva, veebilehitseja identifitseerimiskirjet, HTTP tulemus koodi ning konkreetset päringuteksti (tavaliselt GET päring mingi lehekülje vaatamiseks).
Samba SMB serveri logi
Server Message Block Protocol (SMB) server (ehk Samba) on suuresti kasutuses failide jagamiseks SMB protokolli toetavate arvutite vahel.
Samba hoiab /var/log/samba kataloogis kahte erinevat tüüpi logisid:
- /var/log/samba/log.nmbd - sõnumid, mis on seotud Samba NETBIOS üle IP funktsionaalsusega
- /var/log/samba/log.smbd - sõnumid, mis on seotud Samba SMB/CIFS funktsionaalsusega (failid ning printimine)
Inimsilmaga mitteloetavad logid
Osad /var/log kataloogis asuvad logifailid, on mõeldud ainult spetsiaalsete rakenduste poolt lugemiseks. Järgnevalt mõned näited.
faillog
faillog ehk ebaõnnestunud sisselogimiste log asub /var/log/faillog failis.
Selle faili kuvamiseks on mõeldud programm faillog.
Näide - kuvame ebaõnnestunud sisselogimiste info kõigi kasutajate kohta kasutades käsku faillog -a:
Login Failures Maximum Latest On root 0 0 01/01/70 03:00:00 +0300 daemon 0 0 01/01/70 03:00:00 +0300 bin 0 0 01/01/70 03:00:00 +0300 sys 0 0 01/01/70 03:00:00 +0300 sync 0 0 01/01/70 03:00:00 +0300 games 0 0 01/01/70 03:00:00 +0300 man 0 0 01/01/70 03:00:00 +0300 lp 0 0 01/01/70 03:00:00 +0300 mail 0 0 01/01/70 03:00:00 +0300 news 0 0 01/01/70 03:00:00 +0300 uucp 0 0 01/01/70 03:00:00 +0300 proxy 0 0 01/01/70 03:00:00 +0300 www-data 0 0 01/01/70 03:00:00 +0300 backup 0 0 01/01/70 03:00:00 +0300 list 0 0 01/01/70 03:00:00 +0300 irc 0 0 01/01/70 03:00:00 +0300 gnats 0 0 01/01/70 03:00:00 +0300 nobody 0 0 01/01/70 03:00:00 +0300 libuuid 0 0 01/01/70 03:00:00 +0300 syslog 0 0 01/01/70 03:00:00 +0300 sshd 0 0 01/01/70 03:00:00 +0300 landscape 0 0 01/01/70 03:00:00 +0300 martin 0 0 01/01/70 03:00:00 +0300
lastlog
lastlog ehk viimaste sisselogimisete logi asub /var/log/lastlog fails.
Selle faili kuvamiseks on mõeldud programm lastlog.
Näide - kuvame käsu lastlog abil kõigi kasutajate viimased sisselogimised:
Username Port From Latest root pts/0 itk-gw.itcollege Fri Jun 11 12:15:49 +0300 2010 daemon **Never logged in** bin **Never logged in** sys **Never logged in** sync **Never logged in** games **Never logged in** man **Never logged in** lp **Never logged in** mail **Never logged in** news **Never logged in** uucp **Never logged in** proxy **Never logged in** www-data **Never logged in** backup **Never logged in** list **Never logged in** irc **Never logged in** gnats **Never logged in** nobody **Never logged in** libuuid **Never logged in** syslog **Never logged in** sshd **Never logged in** landscape **Never logged in** martin pts/0 192.168.1.23 Wed Jun 9 11:18:44 +0300 2010
wtmp
Fail /var/log/wtmp sisaldab samuti kirjeid sisselogimiste kohta, kuid erinevalt lastlog logist on seal kirjas konkreetsel ajahetkel süsteemi sisseloginute nimed.
wtmp logi kuvamiseks on käsklus who.
Näide:
root pts/0 2010-06-11 12:15 (itk-gw.itcollege.ee) martin pts/1 2010-06-11 12:26 (itk-gw.itcollege.ee)
System Log Viewer
Ubuntus on olemas graafiline võimalus logifailide vaatamiseks - System Log Viewer. Selle asukoht on System => Administration => Log File Viewer
Rakendus võimaldab kasutajale head ülevaadet Ubuntus asuvatest logidest (näiteks annab võimaluse vaadata logisid päevade lõikes, rakendada filtreid kasutades regulaaravaldisi, jpm...).