CHƯƠNG 1 CƠ SỞ LÝ THUYẾT
1.2 Giới thiệu về logs trên hệ điều hành Windows và Linux
1.2.3 Logs mặc định trên Linux
Tương tự Windows, các tệp logs trên hệ điều hành Linux là tập các bản ghi chứa thông tin liên quan đến hoạt động của kernel, dịch vụ và các ứng dụng đang chạy trên hệ thống. Dựa vào thông tin trong logs, người quản trị có thể khắc phục các sự cố phát sinh cũng như hỗ trợ quá trình giám sát, đảm bảo an toàn hệ thống trước các cuộc tấn công mạng. Theo mặc định, các tệp logs trên Linux đều lưu tại thư mục /var/log. Bảng bên dưới sẽ thống kê và mô tả thông tin chi tiết về một số tệp logs quan trọng, cần thiết trong việc giám sát an toàn cho các máy chủ Linux.
Bảng 1.7. Bảng thống kê và đặc tả một số loại logs trên Linux
Đường dẫn Mô tả chi tiết
/var/log/messages Ghi lại các thông tin liên quan đến quá trình khởi động và vận hành hệ thống, ví dụ như lỗi từ kernel, v.v.
Trên các bản phân phối linux thuộc họ RedHat như CentOS / RHEL sẽ lưu trữ trong /var/log/messages. Đối với Ubuntu hoặc các bản phân phối thuộc họ Debian sẽ lưu trữ trong /var/log/syslog
/var/log/auth.log Ghi lại thông tin liên quan đến các hành vi xác thực, các cơ chế ủy quyền cho người dùng trên hệ thống. Ví dụ:
18
+) Cho phép điều tra các hành vi tấn công, khai thác lỗ hổng liên quan đến cơ chế ủy quyền của người dùng
/var/log/secure Ghi lại thông tin liên quan đến các hành vi xác thực người dùng trên hệ thống như đăng nhập SSH, sử dụng quyền sudo, cùng nhiều thông tin liên quan đến các tiến trình/dịch vụ bảo mật hệ thống được chạy nền (background).
Trên các hệ thống CentOS hoặc RHEL, tệp này sẽ thay thế cho tệp /var/log/auth.log
/var/log/boot.log Ghi lại thông tin liên quan đến quá trình khởi động hệ thống, cho phép phát hiện các lỗi trong quá trình khởi động, các lỗi trong quá trình shutdown máy chủ, v.v.
/var/log/dmesg Ghi lại thông tin liên quan đến kernel, các thiết bị phần cứng và driver của hệ thống, chẳng hạn như trạng thái của thiết bị, các lỗi phần cứng, v.v.
var/log/kern.log Do kernel của hệ thống ghi lại, hỗ trợ tốt cho việc khắc phục sự cố kernel cũng như các lỗi liên quan đến phần cứng
/var/log/faillog Chứa thông tin liên quan đến hành vi đăng nhập thất bại của người dùng
/var/log/cron Chứa thông tin liên quan đến các tác vụ được lập lịch (crontab) trên hệ thống Linux
/var/log/yum.log Ghi lại logs liên quan đến việc cài đặt các dịch vụ, phần mềm cho hệ thống Linux
/var/log/maillog /var/log/mail.log
Ghi lại logs liên quan đến các dịch vụ email đang chạy trên máy chủ, ví dụ như postfix, smtpd, mail scanner, v.v. /var/log/httpd Chứa các tệp error_log và access_log ghi lại logs của tiến
trình httpd chạy dịch vụ web.
/var/log/mysql.log Ghi lại logs liên quan đến hoạt động của dịch vụ MySQL Để truy cập và trích xuất thông tin trong các tệp logs này, có thể sử dụng một số lệnh hoặc tiện ích sau:
-Sử dụng các trình soạn thảo như vi, nano, … để đọc và sửa tệp logs
-Sử dụng các lệnh như $ tail, $ head, … để xem nội dung của tệp logs theo thời gian thực.
-Sử dụng một số lệnh như $ cat kết hợp với grep để tìm kiếm thông tin trong logs dựa trên các từ khóa.
19