مهمترین لاگ فایل های سرور لینوکس که باید در مانیتورینگ مورد توجه قرار گیرد

لاگ فایل ها، گزارش هایی هستند که لینوکس برای مدیران سرور ذخیره می ‌کند تا رویدادهای مهم سرور، کرنل، سرویس‌ ها و برنامه ‌های در حال اجرای روی آن را پیگیری و نظارت کنند. در این پست، ما به بررسی برترین لاگ فایل های لینوکس که مدیران سرور باید بر روی آن ها نظارت کنند می ‌پردازیم.

لاگ فایل لینوکس چیست؟

لاگ فایل ها مجموعه‌ای از سوابق هستند که لینوکس برای پیگیری رویدادهای مهم توسط مدیران نگهداری می ‌کند. آن ها حاوی پیام هایی در مورد سرور، از جمله هسته (کرنل)، سرویس ها و نرم افزارهای در حال اجرا بر روی آن هستند. لینوکس یک مخزن متمرکز از Log Flieها آماده می ‌کند که می‌ توانند در زیر فهرست /var/log قرار گیرند.

لاگ فایل های تولید شده در یک محیط لینوکس معمولاً به چهار دسته مختلف طبقه بندی می شوند:

• Application Logs
• Event Logs
• Service Logs
• System Logs

چرا باید لاگ فایل‌ های لینوکس را مانیتور کنیم؟

مدیریت لاگ بخشی جدایی ناپذیر از مسئولیت هر مدیر سروری است. با نظارت بر لاگ فایل‌ های لینوکس، می ‌توانید اطلاعات دقیقی در مورد عملکرد سرور، امنیت، پیام‌ های خطا و مشکلات اساسی آن به دست آورید. اگر می خواهید یک رویکرد فعال در مقابل یک رویکرد واکنشی برای مدیریت سرور داشته باشید، تجزیه و تحلیل منظم لاگ فایل صد در صد مورد نیاز است.

به طور خلاصه، Log fileها به شما این امکان را می ‌دهند تا مشکلات آتی سیستم را قبل از وقوع پیش‌ بینی کنید.

کدام لاگ فایل های لینوکس باید نظارت شوند؟

نظارت و تجزیه و تحلیل همه لاگ فایل ها می تواند یک کار چالش برانگیز باشد. گاهی اوقات حجم زیاد گزارش ها می ‌تواند برای افراد گیج کننده باشد. برای اینکه کار را برای شما کمی آسان ‌تر کنیم، برخی از مهم ‌ترین لاگ فایل هایی را که باید نظارت کنید، به شما معرفی می ‌کنیم.

توجه: توجه داشته باشید که این یک لیست جامع نیست، بلکه فقط زیرمجموعه ای از فایل های گزارش مهم است که بیش ترین اهمیت را دارند. هرچه تعداد گزارش های بیش تری را مدیریت کنید، برای سلامت سرور شما بهتر است. لیست زیر حداقل هایی است که باید بر روی آن ها نظارت کنید.

/var/log/messages

چه چیزی در این لاگ فایل لینوکس ثبت شده است؟

• این فایل گزارش (Log File) شامل گزارش‌ های عمومی فعالیت سیستم است.
• عمدتاً برای ذخیره پیام های اطلاعاتی و غیر بحرانی سیستم استفاده می شود.
• در سیستم های مبتنی بر دبیان، دایرکتوری /var/log/syslog به همین منظور عمل می کند.

چگونه می توان از این گزارش ها استفاده کرد؟

• در اینجا می ‌توانید خطاهای non-kernel boot، خطاهای سرویس مربوط به اپلیکیشن و پیام ‌هایی که در هنگام راه ‌اندازی سیستم ثبت می ‌شوند را ردیابی کنید.
• این اولین لاگ فایلی است که مدیران لینوکس باید بررسی کنند که آیا مشکلی پیش آمده است یا نه.
• به عنوان مثال، شما با مشکلی در کارت صدا مواجه شده اید. برای بررسی اینکه آیا مشکلی در فرآیند راه ‌اندازی سیستم رخ داده است یا نه، شما می ‌توانید به پیام‌ های ذخیره شده در این فایل نگاهی بیندازید.

/var/log/auth.log

چه چیزی در این لاگ فایل لینوکس ثبت شده است؟

• تمام رویدادهای مربوط به احراز هویت در سرور دبیان و اوبونتو در اینجا ثبت می شوند.
• اگر به دنبال چیزی هستید که مربوط به مکانیسم مجوز کاربر باشد، می ‌توانید آن را در این فایل پیدا کنید.

چگونه می توان از این گزارش ها استفاده کرد؟

فکر می کنید که یک نقض امنیتی در سرور شما رخ داده است؟ یک فایل جاوا اسکریپت مشکوک در جایی که نباید باشد پیدا کرده اید؟ اگر چنین است، پس این لاگ فایل را سریعا پیدا کنید!

• تلاش های ناموفق برای ورود را بررسی کنید.
• حملات brute-force و سایر آسیب ‌پذیری‌ های مربوط به مکانیسم مجوز کاربر را بررسی کنید.

/var/log/secure

چه چیزی در این لاگ فایل لینوکس ثبت شده است؟

سیستم های مبتنی بر RedHat و CentOS از این لاگ فایل به جای /var/log/auth.log استفاده می کنند.

• این گزارش عمدتا برای ردیابی استفاده از سیستم های مجوز به کار برده می شود.
• تمام پیام های مربوط به امنیت از جمله خرابی های احراز هویت را ذخیره می کند.
• همچنین SSH logins، sudo logins و سایر خطاهای ثبت ‌شده توسط دیمون سرویس ‌های امنیتی سیستم را ردیابی می‌ کند.

چگونه می توان از این گزارش ها استفاده کرد؟

• همه رویدادهای احراز هویت کاربر در اینجا ثبت می شوند.
• این فایل گزارش می ‌تواند اطلاعات دقیقی درباره تلاش ‌های غیرمجاز یا ناموفق برای ورود به سیستم ارائه دهد.
• می تواند برای شناسایی تلاش های احتمالی هک بسیار مفید باشد.
• همچنین اطلاعات مربوط به ورودهای موفق را ذخیره می کند و فعالیت های کاربران معتبر را ردیابی می کند.

/var/log/boot.log

چه چیزی در این لاگ فایل لینوکس ثبت شده است؟

• اسکریپت راه اندازی اولیه سیستم، /etc/init.d/bootmisc.sh، تمام پیام های bootup را به این لاگ فایل ارسال می کند.
• این لاگ فایل، مخزن اطلاعات مربوط به بوت شدن و پیام های ثبت شده در طول فرآیند راه اندازی سیستم است.

چگونه می توان از این گزارش ها استفاده کرد؟

• باید این فایل گزارش را بررسی کنید تا مسائل مربوط به خاموش شدن غیرمنتظره، راه اندازی مجدد برنامه ریزی نشده یا خرابی در راه اندازی را متوجه شوید.
• این فایل می تواند برای تعیین مدت زمان توقف سیستم، ناشی از خاموش شدن غیرمنتظره مفید باشد.

/var/log/dmesg

چه چیزی در این لاگ فایل لینوکس ثبت شده است؟

• این فایل گزارش شامل پیام های Kernel ring buffer است.
• اطلاعات مربوط به دستگاه های سخت افزاری و درایورهای آن ها در فایل ثبت می شود.
• همانطور که هسته، دستگاه های فیزیکی مرتبط با سرور را در طول فرآیند بوت شناسایی می کند، وضعیت دستگاه، خطاهای سخت افزاری و سایر پیام های عمومی را نیز ضبط می کند.

چگونه می توان از این گزارش ها استفاده کرد؟

• این لاگ فایل بیش تر برای مشتریان سرور اختصاصی مفید است.
• اگر سخت افزار خاصی به درستی کار نمی کند یا شناسایی نمی شود، می توانید برای عیب یابی به این فایل گزارش اعتماد کنید.
• یا اینکه می توانید یک سرور مدیریت شده از زمین هاست خریداری کنید و ما آن را برای شما نظارت می کنیم.

/var/log/kern.log

چه چیزی در این لاگ فایل لینوکس ثبت شده است؟

این یک لاگ فایل بسیار مهم است زیرا حاوی اطلاعات ثبت شده توسط کرنل یا هسته است.

چگونه می توان از این گزارش ها استفاده کرد؟

• ایده آل برای عیب یابی خطاها و هشدارهای مربوط به هسته.
• گزارش ‌های کرنل می‌ توانند برای عیب ‌یابی یک هسته سفارشی ‌سازی شده مفید باشند.
• همچنین می تواند در رفع اشکالات سخت افزاری و مشکلات اتصال مفید باشد.

/var/log/faillog

چه چیزی در این لاگ فایل لینوکس ثبت شده است؟

این فایل حاوی اطلاعاتی درباره تلاش های ناموفق برای ورود به سیستم است.

چگونه می توان از این گزارش ها استفاده کرد؟

این گزارش می تواند یک فایل مفید برای کشف هرگونه تلاش برای نقض امنیتی شامل هک نام کاربری/رمز عبور و حملات brute-force باشد.

/var/log/cron

چه چیزی در این لاگ فایل لینوکس ثبت شده است؟

این لاگ فایل اطلاعات مربوط به cron jobها را ثبت می کند.

چگونه می توان از این گزارش ها استفاده کرد؟

• هر زمان که یک cron job اجرا می شود، این File log تمام اطلاعات مربوطه از جمله اجرای موفقیت آمیز و پیام های خطا در صورت خرابی را ثبت می کند.
• اگر با cron برنامه ریزی شده خود مشکل دارید، باید این فایل گزارش را بررسی کنید.

لاگ فایل لینوکس /var/log/yum.log

چه چیزی در این لاگ فایل لینوکس ثبت شده است؟

شامل اطلاعاتی است که هنگام نصب بسته جدید با استفاده از دستور yum ثبت می شود.

چگونه می توان از این گزارش ها استفاده کرد؟

• نصب اجزای سیستم و بسته های نرم افزاری را پیگیری کنید.
• پیام های ثبت شده را در اینجا بررسی کنید تا ببینید آیا بسته به درستی نصب شده است یا خیر.
• به شما کمک می کند تا مشکلات مربوط به نصب نرم افزار را عیب یابی کنید.

فرض کنید سرور شما غیرعادی رفتار می کند و شما مشکوک هستید بسته نرم افزاری که اخیراً نصب شده دلیل اصلی این مشکل باشد. در چنین مواقعی، می‌ توانید این لاگ فایل را بررسی کنید تا بسته ‌هایی را که اخیراً نصب شده‌اند، بررسی کنید و برنامه دارای مشکل را شناسایی کنید.

/var/log/maillog یا /var/log/mail.log

چه چیزی در این لاگ فایل لینوکس ثبت شده است؟

همه گزارش ‌های مربوط به سرور ایمیل در اینجا ذخیره می ‌شوند.

چگونه می توان از این گزارش ها استفاده کرد؟

• اطلاعات مربوط به postfix، smtpd، MailScanner، SpamAssassain یا هر سرویس مرتبط دیگری که در سرور ایمیل اجرا می شود را در این قسمت مشاهده می کنید.
• تمام ایمیل هایی که در یک دوره خاص ارسال یا دریافت شده اند را ردیابی می کنید.
• مشکلات تحویل نامه ناموفق را بررسی می کنید.
• اطلاعاتی در مورد تلاش های احتمالی ارسال هرزنامه که توسط سرور ایمیل مسدود شده است را دریافت می کنید.
• منشاء ایمیل دریافتی را با بررسی دقیق این لاگ فایل ردیابی می کنید.

لاگ فایل لینوکس var/log/httpd/

چه چیزی در این لاگ فایل لینوکس ثبت شده است؟

• این فهرست شامل لاگ های ثبت شده توسط سرور آپاچی است.
• اطلاعات ورود به سیستم سرور آپاچی در دو لاگ فایل مختلف ذخیره می شود – error_log و access_log.

چگونه می توان از این گزارش ها استفاده کرد؟

• error_log حاوی پیام های مربوط به خطاهای httpd مانند مشکلات حافظه و سایر خطاهای مربوط به سیستم است.
• این جا قسمتی است که سرور آپاچی رویدادها و سوابق خطاهایی را که هنگام پردازش درخواست ‌های httpd با آن مواجه می‌ شوند را می‌نویسد.
• اگر مشکلی در وب سرور آپاچی پیش بیاید، این گزارش را برای تشخیص مشکل بررسی کنید.
• علاوه بر فایل error-log، Apache یک لیست جداگانه از access_log نیز دارد.
• تمام درخواست های دسترسی دریافت شده از طریق HTTP در فایل access_log ذخیره می شوند.
• به شما کمک می کند تا هر صفحه ارائه شده و هر فایل بارگذاری شده توسط آپاچی را پیگیری کنید.
• نشانی IP و شناسه کاربری همه کلاینت هایی را که درخواست اتصال به سرور می کنند را ثبت می کند.
• اطلاعات مربوط به وضعیت درخواست‌ های دسترسی را ذخیره می ‌کند. اینکه آیا پاسخی با موفقیت ارسال شده است یا درخواست منجر به شکست شده است؟

/var/log/mysqld.log یا /var/log/mysql.log

چه چیزی در این لاگ فایل لینوکس ثبت شده است؟

• همانطور که از نام آن پیداست، این لاگ فایل MySQL است.
• همه پیام‌ های اشکال‌ زدایی، شکست و موفقیت مربوط به دیمون [mysqld] و [mysqld_safe] در این فایل ثبت شده‌اند.
• RedHat،CentOS  و Fedora گزارش‌ های MySQL را در /var/log/mysqld.log ذخیره می ‌کنند، در حالی که دبیان و اوبونتو ورود به دایرکتوری /var/log/mysql.log را حفظ می‌ کنند.

چگونه می توان از این گزارش ها استفاده کرد؟

• از این گزارش می توانید برای شناسایی مشکلات هنگام شروع، اجرا یا توقف mysqld استفاده کنید.
• اطلاعاتی در مورد اتصالات کلاینت به دایرکتوری داده MySQL دریافت می کنید.
• همچنین می ‌توانید پارامتر «long_query_time» را برای ثبت اطلاعات مربوط به query locks و slow running queries تنظیم کنید.

نکته آخر

در حالی که نظارت و تجزیه و تحلیل تمام لاگ فایل های تولید شده توسط سیستم می تواند کار دشواری باشد، می توانید از یک ابزار نظارتی متمرکز برای ساده سازی فرآیند بررسی گزارش ها استفاده کنید.

بنابراین اگر می‌ خواهید یک رویکرد فعالانه برای مدیریت سرور داشته باشید، سرمایه ‌گذاری در یک پلتفرم مانیتورینگ سرور به شما این امکان را می ‌دهد تا داده‌ های گزارش را در لحظه مشاهده کنید و هشدارهایی را تنظیم کنید تا در صورت بروز تهدیدات احتمالی به شما اطلاع دهند.