Log failid Ubuntus: Difference between revisions

From ICO wiki
Jump to navigationJump to search
Lpalkmet (talk | contribs)
Mlehari (talk | contribs)
 
(46 intermediate revisions by 2 users not shown)
Line 1: Line 1:
Autor: Lauri Palkmets
Autor: Lauri Palkmets


=Log failid Ubuntus=
Ubuntu operatsioonisüsteem annab erinevate logifailide abil edasi olulist teavet.


Need logifailid on tavaliselt lihtsas ASCII tekstiformaadis, ning enamik neist asuvad traditsioonilises süsteemikataloogis '''/var/log'''. Paljud neist on loodud süsteemi logi ''daemoni'' ja ''syslogd'' 'i poolt. Mõned rakendused loovad oma logi, kirjutades otse ''/var/log'' all asuvatesse failidesse.


Ubuntu süsteem annab olulist teavet, kasutades erinevaid süsteemi logifaile. Need logifailid on tavaliselt lihtsas ASCII tekstiformaadis, ning enamik neist asuvad traditsioonilises süsteemikataloogis /var/log. Paljud neist on loodud süsteemi logi daemoni poolt, ''syslogd'' süsteemi poolt ja teatud rakendustes, samas mõned rakendused loovad oma logi, kirjutades otse failidesse ''/var/log''.
== Authentication log ==


== Autentimiste logi ==
''Authentication log'' ehk autentimiste logi jälgib autenditavate süsteemide kasutamist. Sinna hulka kuuluvad rakendused, mis võimaldavad küsida enne ligipääsu paroole (näiteks kaug-sisselogimiseks kasutatav ssh). Sealt on võimalik jälgida kasutajate sisselogimisi ning sudo käsu kasutamist.


Autentimiste logi jälgib autenditavate süsteemide kasutamist. Sinna hulka kuuluvad rakendused, mis võimaldavad küsida enne ligipääsu paroole, näiteks kaug-sisselogimist ssh jne. Autentimise logi faili saab avada asukohast ''/var/log/auth.log''. Sealt on võimalik jälgida kasutajate sisselogimisi ning sudo käsu kasutamist


Kasutame grep käsku, et vähendada mahtu. Näiteks, et näha üksnes sudo kasutamist, kasuta rida: grep sudo ''/var/log/auth.log | less''
Autentimise logi asub '''/var/log/auth.log''' failis.


== Daemon Logi==


Daemon on programm, mis töötab taustal, üldiselt ilma inimese sekkumiseta, et täita mõned toimingu nõuetekohaseks süsteemi toimimiseks. Daemon logi asub ''/var/log/daemon.log'' ning sisaldab teavet töötavate süsteemi ja rakendus daemonite kohta nagu näiteks Gnome Display Manager daemon gdm, Bluetooth HCI daemon hcid või MySQL andmebaasi daemon mysqld.
''grep'' käsu abil saame logi lugemise efektiivsemaks muuta. Näiteks:
grep sudo /var/log/auth.log | less
Tulemuseks on ainult read, kus on kirjas ''sudo'' kasutamine. ''grep'' 'i väljund suunatakse ''less'' 'i


== Silumislogi==
== Daemon log ==


''debug - siluma Programmides vigu avastama, lokaliseerima ja kõrvaldama''
''Daemon'' on programm, mis töötab taustal (ei vaja kasutaja sekkumist), tagamaks süsteemi nõuetekohane toimimine. ''Daemon'' 'i logi sisaldab teavet töötavate süsteemi- ja rakendusdaemonite kohta. Näiteks:
Silumislogi, asukohaga /var/log/debug pakub detailseid silumisteateid Ubuntu süsteemist ning  rakendustest, mis logivad  syslogd-d  SILUMIS tasemel.
* Gnome Display Manager daemon '''gdm'''
* Bluetooth HCI daemon '''hcid'''
* MySQL andmebaasi daemon '''mysqld'''.


== Kerneli (tuuma) Logi ==


Tuuma logi asub samamoodi /var/log/kern.log annab üksikasjalikke logisõnumeid Ubuntu Linuxi tuuma kohta. Need sõnumid võivad osutuda kasulikuks, lahendades muresid uute või kohandatud tuumadega.
''Daemon'' 'i logi asub '''/var/log/daemon.log''' failis.


== Sõnumilogi ==
== Debug log==


Sõnumilogi sisaldab infosõnumeid rakendustest ning süsteemi  contains informational messages from applications, and system teenustest ning asub /var/log/messages.  
''Debug log'' ehk silumislogi on mõeldud abistamaks programmivigade avastamiseks, lokaliseerimsieks ja kõrvaldamiseks. Silumislogi pakub detailseid silumisteateid Ubuntu süsteemist ning rakendustest, mis logivad ''syslogd'' abil '''debug''' tasemel.


== Süsteemilogi ==


Süsteemilogi tavaliselt sisaldab kõige rohkem informatsiooni Ubuntu süsteemi kohta. See asub /var/log/syslog ning võib sisaldada informatsiooni, mida teised logid ei sisalda. Pöördu süsteemilogi poole, kui sa ei suuda muudest logikirjetest informatsiooni leida.  
Silumislogi asub '''/var/log/debug''' failis.


== Rakenduste poolt tekitatud logi ==  
== Kernel log ==


Paljud rakendused tekitavad logi kataloogi /var/log, kui kuvada kataloogi /var/log alamkataloogid, siis on nähtavad paljud tuttavad nimed näiteks /var/log/apache2 sisaldab Apache 2 veebiserveri logiinfot ning /var/log/samba sisaldab Samba serveri logiinformatsiooni.
Kerneli ehk tuuma logi annab üksikasjalikke logisõnumeid Ubuntu linuxi tuuma kohta. Need sõnumid võivad osutuda kasulikuks, lahendades muresid uute või kohandatud tuumadega.




===Rootkit Hunter Log===
Kerneli ehk tuuma logi asub '''/var/log/kern.log''' failis.


Rootkit Hunter on rakendus (rkhunter) mis kontrollib Ubuntu süsteemi salauste, nuuskurite ning juurkomplektide vastu, selle rakenduse logi asub /var/log/rkhunter.log.
== Message log ==


===Apache HTTP Serveri logid===
''Message log'' ehk sõnumilogi sisaldab infosõnumeid rakendustest ning süsteemi teenustest.


Vaikimisi installeerides loob Apache Ubuntusse alamkataloogi /var/log/apache2. Selle kataloogi all asub kaks alamkataloogi erinevatel põhjustel


Sõnumilogi ning asub '''/var/log/messages''' failis.


      /var/log/apache2/access.log - kirje iga päringu kohta lehel ning iga serverisse ülesselaetud faili kohta
== Syslog ==
   
      /var/log/apache2/error.log - kirjed vigade kohta, mis HTTP serveris on juhtunud


Vaikimisi, iga kord, kui Apache pöördub faili või lehekülja poole, moodustuvad logikirjed, mis sisaldavad IP aadressi, kellaaja ning kuupäeva, veebilehitseja identifitseerimiskirje, HTTP tulemus koodi ning reaalse päringuteksti, mis üldiselt on GET päring mingi lehekülje vaatamiseks.
''Syslog'' ehk süsteemilogi sisaldab tavaliselt kõige rohkem informatsiooni Ubuntu süsteemi kohta. See võib sisaldada informatsiooni, mida teised logid ei sisalda. Pöördu süsteemilogi poole, kui sa ei suuda muudest logikirjetest informatsiooni leida.


===Samba SMB Serveri Logid===


Server Message Block Protocol (SMB) server, Samba on suuresti kasutuses failide jagamiseks Ubuntu arvutite ning teiste arvutite vahel, mis toetavad SMB protokolli. Samba hoiab kolme erinevat tüüpi logisid alamkataloogis /var/log/samba
''Syslog'' asub '''/var/log/syslog''' fails.


      log.nmbd - sõnumid, mis on seotud Samba NETBIOS üle IP funktsionaalsusega
== Erinevate rakenduste poolt tekitatud logid ==


      log.smbd - sõnumid, mis on seotud  Samba SMB/CIFS funktsionaalsusega (faili ning printimisega seotud)
Paljud rakendused tekitavad oma logi kataloogi /var/log all olevatesse alamkataloogidesse


==Inimsilmale lugemiseks mitte mõteldud logid==
===Rootkit Hunter logi===
Mõned logifailid, mis asuvad kataloogis /var/log on mõteldud, et neid loevad rakendused, mitte tingimata inimesed, järgnevalt esitatakse mõned näited.


===Ebaõnnestunud sisselogimise logi===
Rootkit Hunter on rakendus (rkhunter) mis kontrollib Ubuntu süsteemi salauste, nuuskurite ning ''rootkit'' 'ide (juurkomplekt??) vastu.


Ebaõnnestunud sisselogimised, mis asuvad /var/log/faillog on tegelikult mõteldud parsida ning kuvada faillog käsklusega, näiteks, kui me soovime kuvada hiljutised ebaõnnestunud sisselogimiskatsed, siis on vaja kasutada järgmist käsklust:
Selle rakenduse logi asub '''/var/log/rkhunter.log''' fails.


faillog
=== Apache veebiserveri logi ===


===Viimaste sisselogimiste logi===
Vaikimisi installeerides loob Apache kettalse alamkataloogi '''/var/log/apache2'''. Selles kataloogis asuvad kahte erinevat tüüpi logifailid
* '''/var/log/apache2/access.log''' - kirjes lehele tehtud päringute kohta
* '''/var/log/apache2/error.log''' - kirjed lehel esinenud vigade kohta


Viimased sisselogimised sisselogimised, mis asuvad /var/log/lastlog on tegelikult mõteldud parsida ning kuvada lastlog käsklusega, näiteks kui me soovime kuvada  sisselogimised, siis on vaja kasutada järgmist käsklust:
Vaikimisi, iga kord, kui Apache pöördub faili või lehekülje poole, moodustatakse logikirje, mis sisaldab päringu tegija IP aadressi, kellaaega, kuupäeva, veebilehitseja identifitseerimiskirjet, HTTP tulemus koodi ning konkreetset päringuteksti (tavaliselt GET päring mingi lehekülje vaatamiseks).


lastlog | less
===Samba SMB serveri logi===


===Seesolevate kasutajate logi===
Server Message Block Protocol (SMB) server (ehk Samba) on suuresti kasutuses failide jagamiseks SMB protokolli toetavate arvutite vahel.


Samba hoiab '''/var/log/samba''' kataloogis kahte erinevat tüüpi logisid:


Fail /var/log/wtmp sisaldab sisselogimise kirjeid, kuid mitte nii nagu /var/log/lastlog , /var/log/wtmp ei ole kasutusel viimaste sisselogimiste kuvamiseks, vaid on kasutisel teiste teenuste poolt, näiteks ''who'' käskluse poolt, et kuvada hetkel süsteemis olevaid kasutajaid.
* '''/var/log/samba/log.nmbd''' - sõnumid, mis on seotud Samba NETBIOS üle IP funktsionaalsusega
* '''/var/log/samba/log.smbd''' - sõnumid, mis on seotud Samba SMB/CIFS funktsionaalsusega (failid ning printimine)


==Inimsilmaga mitteloetavad logid==
Osad '''/var/log''' kataloogis asuvad logifailid, on mõeldud ainult spetsiaalsete rakenduste poolt lugemiseks. Järgnevalt mõned näited.


==Vaata logifaile kasutades GUI-tööriista System Log Viewer==
=== faillog ===


Ubuntus on olemas graafiline võimalus logifailide vaatamiseks, selle asukoht on System => Administration => Log File Viewer
''faillog'' ehk ebaõnnestunud sisselogimiste log asub '''/var/log/faillog''' failis.
 
Selle faili kuvamiseks on mõeldud programm '''faillog'''.
 
Näide - kuvame ebaõnnestunud sisselogimiste info kõigi kasutajate kohta kasutades käsku '''faillog -a''':
Login      Failures Maximum Latest                  On
root            0        0  01/01/70 03:00:00 +0300
daemon          0        0  01/01/70 03:00:00 +0300
bin            0        0  01/01/70 03:00:00 +0300
sys            0        0  01/01/70 03:00:00 +0300
sync            0        0  01/01/70 03:00:00 +0300
games          0        0  01/01/70 03:00:00 +0300
man            0        0  01/01/70 03:00:00 +0300
lp              0        0  01/01/70 03:00:00 +0300
mail            0        0  01/01/70 03:00:00 +0300
news            0        0  01/01/70 03:00:00 +0300
uucp            0        0  01/01/70 03:00:00 +0300
proxy          0        0  01/01/70 03:00:00 +0300
www-data        0        0  01/01/70 03:00:00 +0300
backup          0        0  01/01/70 03:00:00 +0300
list            0        0  01/01/70 03:00:00 +0300
irc            0        0  01/01/70 03:00:00 +0300
gnats          0        0  01/01/70 03:00:00 +0300
nobody          0        0  01/01/70 03:00:00 +0300
libuuid        0        0  01/01/70 03:00:00 +0300
syslog          0        0  01/01/70 03:00:00 +0300
sshd            0        0  01/01/70 03:00:00 +0300
landscape      0        0  01/01/70 03:00:00 +0300
martin          0        0  01/01/70 03:00:00 +0300
 
=== lastlog ===
 
''lastlog'' ehk viimaste sisselogimisete logi asub '''/var/log/lastlog''' fails.
 
Selle faili kuvamiseks on mõeldud programm lastlog.
 
Näide - kuvame käsu '''lastlog''' abil kõigi kasutajate viimased sisselogimised:
Username        Port    From            Latest
root            pts/0    itk-gw.itcollege Fri Jun 11 12:15:49 +0300 2010
daemon                                    **Never logged in**
bin                                        **Never logged in**
sys                                        **Never logged in**
sync                                      **Never logged in**
games                                      **Never logged in**
man                                        **Never logged in**
lp                                        **Never logged in**
mail                                      **Never logged in**
news                                      **Never logged in**
uucp                                      **Never logged in**
proxy                                      **Never logged in**
www-data                                  **Never logged in**
backup                                    **Never logged in**
list                                      **Never logged in**
irc                                        **Never logged in**
gnats                                      **Never logged in**
nobody                                    **Never logged in**
libuuid                                    **Never logged in**
syslog                                    **Never logged in**
sshd                                      **Never logged in**
landscape                                  **Never logged in**
martin          pts/0    192.168.1.23    Wed Jun  9 11:18:44 +0300 2010
 
=== wtmp ===
 
Fail '''/var/log/wtmp''' sisaldab samuti kirjeid sisselogimiste kohta, kuid erinevalt ''lastlog'' logist on seal kirjas konkreetsel ajahetkel süsteemi sisseloginute nimed.
 
wtmp logi kuvamiseks on käsklus who.
 
Näide:
root    pts/0        2010-06-11 12:15 (itk-gw.itcollege.ee)
martin  pts/1        2010-06-11 12:26 (itk-gw.itcollege.ee)
 
==System Log Viewer==
 
Ubuntus on olemas graafiline võimalus logifailide vaatamiseks - System Log Viewer. Selle asukoht on System => Administration => Log File Viewer
 
[[Image:Logifailid.png]]
 
Rakendus võimaldab kasutajale head ülevaadet Ubuntus asuvatest logidest (näiteks annab võimaluse vaadata logisid päevade lõikes, rakendada filtreid kasutades regulaaravaldisi, jpm...).
 
=Kasutatud kirjandus=
 
#[http://www.cyberciti.biz/faq/ubuntu-linux-gnome-system-log-viewer/ View log files in Ubuntu Linux]
#[https://help.ubuntu.com/community/LinuxLogFiles Linux Log Files]
 
 
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Latest revision as of 11:42, 11 June 2010

Autor: Lauri Palkmets

Ubuntu operatsioonisüsteem annab erinevate logifailide abil edasi olulist teavet.

Need logifailid on tavaliselt lihtsas ASCII tekstiformaadis, ning enamik neist asuvad traditsioonilises süsteemikataloogis /var/log. Paljud neist on loodud süsteemi logi daemoni ja syslogd 'i poolt. Mõned rakendused loovad oma logi, kirjutades otse /var/log all asuvatesse failidesse.

Authentication log

Authentication log ehk autentimiste logi jälgib autenditavate süsteemide kasutamist. Sinna hulka kuuluvad rakendused, mis võimaldavad küsida enne ligipääsu paroole (näiteks kaug-sisselogimiseks kasutatav ssh). Sealt on võimalik jälgida kasutajate sisselogimisi ning sudo käsu kasutamist.


Autentimise logi asub /var/log/auth.log failis.


grep käsu abil saame logi lugemise efektiivsemaks muuta. Näiteks:

grep sudo /var/log/auth.log | less

Tulemuseks on ainult read, kus on kirjas sudo kasutamine. grep 'i väljund suunatakse less 'i

Daemon log

Daemon on programm, mis töötab taustal (ei vaja kasutaja sekkumist), tagamaks süsteemi nõuetekohane toimimine. Daemon 'i logi sisaldab teavet töötavate süsteemi- ja rakendusdaemonite kohta. Näiteks:

  • Gnome Display Manager daemon gdm
  • Bluetooth HCI daemon hcid
  • MySQL andmebaasi daemon mysqld.


Daemon 'i logi asub /var/log/daemon.log failis.

Debug log

Debug log ehk silumislogi on mõeldud abistamaks programmivigade avastamiseks, lokaliseerimsieks ja kõrvaldamiseks. Silumislogi pakub detailseid silumisteateid Ubuntu süsteemist ning rakendustest, mis logivad syslogd abil debug tasemel.


Silumislogi asub /var/log/debug failis.

Kernel log

Kerneli ehk tuuma logi annab üksikasjalikke logisõnumeid Ubuntu linuxi tuuma kohta. Need sõnumid võivad osutuda kasulikuks, lahendades muresid uute või kohandatud tuumadega.


Kerneli ehk tuuma logi asub /var/log/kern.log failis.

Message log

Message log ehk sõnumilogi sisaldab infosõnumeid rakendustest ning süsteemi teenustest.


Sõnumilogi ning asub /var/log/messages failis.

Syslog

Syslog ehk süsteemilogi sisaldab tavaliselt kõige rohkem informatsiooni Ubuntu süsteemi kohta. See võib sisaldada informatsiooni, mida teised logid ei sisalda. Pöördu süsteemilogi poole, kui sa ei suuda muudest logikirjetest informatsiooni leida.


Syslog asub /var/log/syslog fails.

Erinevate rakenduste poolt tekitatud logid

Paljud rakendused tekitavad oma logi kataloogi /var/log all olevatesse alamkataloogidesse

Rootkit Hunter logi

Rootkit Hunter on rakendus (rkhunter) mis kontrollib Ubuntu süsteemi salauste, nuuskurite ning rootkit 'ide (juurkomplekt??) vastu.

Selle rakenduse logi asub /var/log/rkhunter.log fails.

Apache veebiserveri logi

Vaikimisi installeerides loob Apache kettalse alamkataloogi /var/log/apache2. Selles kataloogis asuvad kahte erinevat tüüpi logifailid

  • /var/log/apache2/access.log - kirjes lehele tehtud päringute kohta
  • /var/log/apache2/error.log - kirjed lehel esinenud vigade kohta

Vaikimisi, iga kord, kui Apache pöördub faili või lehekülje poole, moodustatakse logikirje, mis sisaldab päringu tegija IP aadressi, kellaaega, kuupäeva, veebilehitseja identifitseerimiskirjet, HTTP tulemus koodi ning konkreetset päringuteksti (tavaliselt GET päring mingi lehekülje vaatamiseks).

Samba SMB serveri logi

Server Message Block Protocol (SMB) server (ehk Samba) on suuresti kasutuses failide jagamiseks SMB protokolli toetavate arvutite vahel.

Samba hoiab /var/log/samba kataloogis kahte erinevat tüüpi logisid:

  • /var/log/samba/log.nmbd - sõnumid, mis on seotud Samba NETBIOS üle IP funktsionaalsusega
  • /var/log/samba/log.smbd - sõnumid, mis on seotud Samba SMB/CIFS funktsionaalsusega (failid ning printimine)

Inimsilmaga mitteloetavad logid

Osad /var/log kataloogis asuvad logifailid, on mõeldud ainult spetsiaalsete rakenduste poolt lugemiseks. Järgnevalt mõned näited.

faillog

faillog ehk ebaõnnestunud sisselogimiste log asub /var/log/faillog failis.

Selle faili kuvamiseks on mõeldud programm faillog.

Näide - kuvame ebaõnnestunud sisselogimiste info kõigi kasutajate kohta kasutades käsku faillog -a:

Login       Failures Maximum Latest                   On

root            0        0   01/01/70 03:00:00 +0300
daemon          0        0   01/01/70 03:00:00 +0300
bin             0        0   01/01/70 03:00:00 +0300
sys             0        0   01/01/70 03:00:00 +0300
sync            0        0   01/01/70 03:00:00 +0300
games           0        0   01/01/70 03:00:00 +0300
man             0        0   01/01/70 03:00:00 +0300
lp              0        0   01/01/70 03:00:00 +0300
mail            0        0   01/01/70 03:00:00 +0300
news            0        0   01/01/70 03:00:00 +0300
uucp            0        0   01/01/70 03:00:00 +0300
proxy           0        0   01/01/70 03:00:00 +0300
www-data        0        0   01/01/70 03:00:00 +0300
backup          0        0   01/01/70 03:00:00 +0300
list            0        0   01/01/70 03:00:00 +0300
irc             0        0   01/01/70 03:00:00 +0300
gnats           0        0   01/01/70 03:00:00 +0300
nobody          0        0   01/01/70 03:00:00 +0300
libuuid         0        0   01/01/70 03:00:00 +0300
syslog          0        0   01/01/70 03:00:00 +0300
sshd            0        0   01/01/70 03:00:00 +0300
landscape       0        0   01/01/70 03:00:00 +0300
martin          0        0   01/01/70 03:00:00 +0300

lastlog

lastlog ehk viimaste sisselogimisete logi asub /var/log/lastlog fails.

Selle faili kuvamiseks on mõeldud programm lastlog.

Näide - kuvame käsu lastlog abil kõigi kasutajate viimased sisselogimised:

Username         Port     From             Latest
root             pts/0    itk-gw.itcollege Fri Jun 11 12:15:49 +0300 2010
daemon                                     **Never logged in**
bin                                        **Never logged in**
sys                                        **Never logged in**
sync                                       **Never logged in**
games                                      **Never logged in**
man                                        **Never logged in**
lp                                         **Never logged in**
mail                                       **Never logged in**
news                                       **Never logged in**
uucp                                       **Never logged in**
proxy                                      **Never logged in**
www-data                                   **Never logged in**
backup                                     **Never logged in**
list                                       **Never logged in**
irc                                        **Never logged in**
gnats                                      **Never logged in**
nobody                                     **Never logged in**
libuuid                                    **Never logged in**
syslog                                     **Never logged in**
sshd                                       **Never logged in**
landscape                                  **Never logged in**
martin           pts/0    192.168.1.23     Wed Jun  9 11:18:44 +0300 2010

wtmp

Fail /var/log/wtmp sisaldab samuti kirjeid sisselogimiste kohta, kuid erinevalt lastlog logist on seal kirjas konkreetsel ajahetkel süsteemi sisseloginute nimed.

wtmp logi kuvamiseks on käsklus who.

Näide:

root     pts/0        2010-06-11 12:15 (itk-gw.itcollege.ee)
martin   pts/1        2010-06-11 12:26 (itk-gw.itcollege.ee)

System Log Viewer

Ubuntus on olemas graafiline võimalus logifailide vaatamiseks - System Log Viewer. Selle asukoht on System => Administration => Log File Viewer

Rakendus võimaldab kasutajale head ülevaadet Ubuntus asuvatest logidest (näiteks annab võimaluse vaadata logisid päevade lõikes, rakendada filtreid kasutades regulaaravaldisi, jpm...).

Kasutatud kirjandus

  1. View log files in Ubuntu Linux
  2. Linux Log Files