分析Linux 日志分析实战:深入分析Log信息(linuxlog日志)
Linux 日志分析实战:深入分析Log信息
Log 是系统软件、应用程序产生的跟服务器,网站或网络相关的文本文件,它包含了系统异常错误、应用程序错误、网络日志、安全日志等等。正常情况下,Log 信息的解析往往交由专业的日志分析软件完成。这些分析软件可以分析 Log 信息来探讨问题,如可用性,故障,性能等。本文将带领读者一步步搭建 CentOS 系统上的安全日志分析实践平台,把日志里的安全分析信息提取出来。
开始之前,首先在系统上安装logstash,它是 ELK Stack 日志分析的主干。使用下面的命令安装
“`bash
# yum install logstash
安装完之后,可以使用下面的配置文件 logstash.conf 让 logstash 在本地系统上监控某个文件夹的文件变化:
input {
file {
type =>”log”
path => “/var/syslog/cos/*log”
start_position => beginning
sincedb_path => “/dev/null”
}
}
filter {
grok {
match => {
“message” => “%{TIME:time} %{IP:src_ip} %{DATA:functional} “
“%{WORD:process_name} %{DATA:client_ip} %{DATA:op} %{GREEDYDATA:msg} “
“%{USERNAME:user}”
}
add_field => [“@log_file_path”,”/var/syslog/cos/private.log”]
}
grok {
match => {
“message” => “%{DATE_EU:time} %{IP:src_ip} %{USERNAME:user} %{WORD:proto} %{DATA:func} %{DATA:conn_address} %{GREEDYDATA:msg} “
“%{USERNAME:user}”
}
add_field => [“@log_file_path”,”/var/syslog/cos/error.log”]
}
date {
match => [ “time” , “dd/MMM/yyyy:HH:mm:ss Z” ]
}
geoip {
source => “src_ip”
target => “geoip”
add_field => [ “[geoip][coordinates]”, “%{[geoip][longitude]}” ]
add_field => [ “[geoip][coordinates]”, “%{[geoip][latitude]}” ]
GPVSRZ
}
mutate {
convert => [ “[geoip][coordinates]”, “float” ]
}
}
output {
elasticsearch {
hosts => “localhost”
index => “logstash-security_%{+YYYY.MM.dd}”
document_type => “%{[@metadata][type]}”
}
stdout {
pretty => true
}
}
这段代码配置了两个日志文件:private.log和error.log。分别从这两个文件中提取src_ip,functional,process_name,op,msg,user等信息。logstash通过读取这些信息,解析出它们的位置,然后通过 Elasticsearch 将它们存储起来。
最后,可以使用 Kibana 将日志信息可视化, Kibana 会将它们转换为图表,报告等,用户可以用图表来分析系统故障,性能,安全漏洞等等,为系统管理者提供有价值的日志分析服务,做出更加明智的决策。
总之,深入分析Log信息可以帮助用户更清楚地了解系统运行状态和性能,帮助企业提高运维效率与系统可用性,保证系统安全性。本文详细介绍了基于 CentOS 平台下的 Log 分析实践细节,搭建了一个可以利用 ELK Stack 对 Log 信息分析的实战平台,读者可以根据自身需求,修改 logstash 的配置文件,对各种信息进行过滤和解析,从而获得有价值的 Log 信息分析报告。
