系统监控:日志文件处理与入侵检测
1. 日志文件搜索与分析
在系统管理中,日志文件是发现问题和监控系统状态的重要资源。如果你想确保搜索日志时有结果,可以使用logger程序手动生成日志条目,例如:
logger "Authentication failure"也可以通过登录用户账户并输入错误密码来预先制造一个真实的错误。
使用grep可以搜索日志文件,但有时仅知道存在身份验证失败是不够的,还需要知道涉及的账户。可以通过让grep包含匹配行前后的行来扩展搜索结果,示例如下:
$ cat /var/log/auth.log | grep -B 1 -A 1 failure Sep 6 09:22:19 workstation su[21153]: pam_unix(su:auth): authentication failure; logname= uid=1000 euid=0 tty=/dev/pts/4 ruser=david rhost= user=studio Sep 6 09:22:21 workstation su[21153]: pam_authenticate: Authentication failure Sep 6 09:22:21 workstation su[21153]: FAILED su for studio by david此外,
