What is log server in linux

12 Critical Linux Log Files You Must be Monitoring

Log files are the records that Linux stores for administrators to keep track and monitor important events about the server, kernel, services, and applications running on it. In this post, we’ll go over the top Linux log files server administrators should monitor.

• Share on Facebook
• Share on Twitter
• Share on Linkedin
• Send email

What are Linux log files

Log files are a set of records that Linux maintains for the administrators to keep track of important events. They contain messages about the server, including the kernel, services and applications running on it.

Linux provides a centralized repository of log files that can be located under the /var/log directory.

The log files generated in a Linux environment can typically be classified into four different categories:

• Application Logs
• Event Logs
• Service Logs
• System Logs

Why monitor Linux log files

Log management is an integral part of any server administrator’s responsibility.

By monitoring Linux log files, you can gain detailed insight on server performance, security, error messages and underlying issues by. If you want to take a proactive vs. a reactive approach to server management, regular log file analysis is 100% required.

In short, log files allow you to anticipate upcoming issues before they actually occur.

Which Linux log files to monitor

Monitoring and analyzing all of them can be a challenging task.

The sheer volume of logs can sometimes make it frustrating just to drill down and find the right file that contains the desired information.

To make it a little easier for you, we will introduce you to some of the most critical Linux log files that you must be monitoring.

/var/log/ messages

What’s logged here?:

• This log file contains generic system activity logs.
• It is mainly used to store informational and non-critical system messages.
• In Debian-based systems, /var/log/syslog directory serves the same purpose.

How can I use these logs?:

• Here you can track non-kernel boot errors, application-related service errors and the messages that are logged during system startup.
• This is the first log file that the Linux administrators should check if something goes wrong.
• For example, you are facing some issues with the sound card. To check if something went wrong during the system startup process, you can have a look at the messages stored in this log file.

/var/log/auth.log

What’s logged here?

• All authentication related events in Debian and Ubuntu server are logged here.
• If you’re looking for anything involving the user authorization mechanism, you can find it in this log file.

How can I use these logs?:

Suspect that there might have been a security breach in your server? Notice a suspicious javascript file where it shouldn’t be? If so, then find this log file asap!

• Investigate failed login attempts
• Investigate brute-force attacks and other vulnerabilities related to user authorization mechanism.

/var/log/secure

What’s logged here?

RedHat and CentOS based systems use this log file instead of /var/log/auth.log.

• It is mainly used to track the usage of authorization systems.
• It stores all security related messages including authentication failures.
• It also tracks sudo logins, SSH logins and other errors logged by system security services daemon.

How can I use these logs?:

• All user authentication events are logged here.
• This log file can provide detailed insight about unauthorized or failed login attempts
• Can be very useful to detect possible hacking attempts.
• It also stores information about successful logins and tracks the activities of valid users.

/var/log/boot.log

What’s logged here?

• The system initialization script, /etc/init.d/bootmisc.sh, sends all bootup messages to this log file
• This is the repository of booting related information and messages logged during system startup process.

How can I use these logs?:

• You should analyze this log file to investigate issues related to improper shutdown, unplanned reboots or booting failures.
• Can also be useful to determine the duration of system downtime caused by an unexpected shutdown.

/var/log/dmesg

What’s logged here?

• This log file contains Kernel ring buffer messages.
• Information related to hardware devices and their drivers are logged here.
• As the kernel detects physical hardware devices associated with the server during the booting process, it captures the device status, hardware errors and other generic messages.

How can I use these logs?:

• This log file is useful for dedicated server customers mostly.
• If a certain hardware is functioning improperly or not getting detected, then you can rely on this log file to troubleshoot the issue.
• Or, you can purchase a managed server from us and we’ll monitor it for you.

/var/log/kern.log

What’s logged here?

This is a very important log file as it contains information logged by the kernel.

How can I use these logs?:

• Perfect for troubleshooting kernel related errors and warnings.
• Kernel logs can be helpful to troubleshoot a custom-built kernel.
• Can also come handy in debugging hardware and connectivity issues.

/var/log/faillog

What’s logged here?

This file contains information on failed login attempts.

How can I use these logs?:

It can be a useful log file to find out any attempted security breaches involving username/password hacking and brute-force attacks.

/var/log/cron

What’s logged here?

This log file records information on cron jobs.

How can I use these logs

• Whenever a cron job runs, this log file records all relevant information including successful execution and error messages in case of failures.
• If you’re having problems with your scheduled cron, you need to check out this log file.

/var/log/yum.log

What’s logged here?

It contains the information that is logged when a new package is installed using the yum command.

How can I use these logs?:

• Track the installation of system components and software packages.
• Check the messages logged here to see whether a package was correctly installed or not.
• Helps you troubleshoot issues related to software installations.

Suppose your server is behaving unusually and you suspect a recently installed software package to be the root cause for this issue. In such cases, you can check this log file to find out the packages that were installed recently and identify the malfunctioning program.

/var/log/maillog or /var/log/mail.log

What’s logged here?

All mail server related logs are stored here.

How can I use these logs?

• Find information about postfix, smtpd, MailScanner, SpamAssassain or any other email related services running on the mail server.
• Track all the emails that were sent or received during a particular period
• Investigate failed mail delivery issues.
• Get information about possible spamming attempts blocked by the mail server.
• Trace the origin of an incoming email by scrutinizing this log file.

var/log/httpd/

What’s logged here?

• This directory contains the logs recorded by the Apache server.
• Apache server logging information are stored in two different log files – error_log and access_log.

How can I use these logs?:

• The error_log contains messages related to httpd errors such as memory issues and other system related errors.
• This is the place where Apache server writes events and error records encountered while processing httpd requests.
• If something goes wrong with the Apache webserver, check this log for diagnostic information.
• Besides the error-log file, Apache also maintains a separate list of access_log.
• All access requests received over HTTP are stored in the access_log file.
• Helps you keep track of every page served and every file loaded by Apache.
• Logs the IP address and user ID of all clients that make connection requests to the server.
• Stores information about the status of the access requests, – whether a response was sent successfully or the request resulted in a failure.

/var/log/mysqld.log or /var/log/mysql.log

What’s logged here?

• As the name suggests, this is the MySQL log file.
• All debug, failure and success messages related to the [mysqld] and [mysqld_safe] daemon are logged to this file.
• RedHat, CentOS and Fedora stores MySQL logs under /var/log/mysqld.log, while Debian and Ubuntu maintains the log in /var/log/mysql.log directory.

How can I use this log?

• Use this log to identify problems while starting, running, or stopping mysqld.
• Get information about client connections to the MySQL data directory
• You can also setup ‘long_query_time’ parameter to log information about query locks and slow running queries.

Final Takeaway

While monitoring and analyzing all the log files generated by the system can be a difficult task, you can make use of a centralized log monitoring tool to simplify the process.

Some of our customers take advantage of using Nagios Log Server to manage their server logs. There are many opensource options available if that’s out of the budget. Needless to say though, monitoring Linux logs manually is hard.

So if you want to take a truly proactive approach to server management, investing in a centralized log collection and analysis platform which allows you to view log data in real-time and set up alerts to notify you when potential threats arise.

Источник

Как посмотреть логи в Linux

Системные администраторы, да и обычные пользователи Linux, часто должны смотреть лог файлы для устранения неполадок. На самом деле, это первое, что должен сделать любой сисадмин при возникновении любой ошибки в системе.

Сама операционная система Linux и работающие приложения генерируют различные типы сообщений, которые регистрируются в различных файлах журналов. В Linux используются специальное программное обеспечение, файлы и директории для хранения лог файлов. Знание в каких файлах находятся логи каких программ поможет вам сэкономить время и быстрее решить проблему. В этой статье мы рассмотрим основные части системы логирования в Linux, файлы логов, а также утилиты, с помощью которых можно посмотреть логи Linux.

Расположение логов по умолчанию

Большинство файлов логов Linux находятся в папке /var/log/ вы можете список файлов логов для вашей системы с помощью команды ls:

Ниже мы рассмотрим 20 различных файлов логов Linux, размещенных в каталоге /var/log/. Некоторые из этих логов встречаются только в определенных дистрибутивах, например, dpkg.log встречается только в системах, основанных на Debian.

• /var/log/messages — содержит глобальные системные логи Linux, в том числе те, которые регистрируются при запуске системы. В этот лог записываются несколько типов сообщений: это почта, cron, различные сервисы, ядро, аутентификация и другие.
• /var/log/dmesg — содержит сообщения, полученные от ядра. Регистрирует много сообщений еще на этапе загрузки, в них отображается информация об аппаратных устройствах, которые инициализируются в процессе загрузки. Можно сказать это еще один лог системы Linux. Количество сообщений в логе ограничено, и когда файл будет переполнен, с каждым новым сообщением старые будут перезаписаны. Вы также можете посмотреть сообщения из этого лога с помощью команды dmseg.
• /var/log/auth.log — содержит информацию об авторизации пользователей в системе, включая пользовательские логины и механизмы аутентификации, которые были использованы.
• /var/log/boot.log — Содержит информацию, которая регистрируется при загрузке системы.
• /var/log/daemon.log — Включает сообщения от различных фоновых демонов
• /var/log/kern.log — Тоже содержит сообщения от ядра, полезны при устранении ошибок пользовательских модулей, встроенных в ядро.
• /var/log/lastlog — Отображает информацию о последней сессии всех пользователей. Это нетекстовый файл, для его просмотра необходимо использовать команду lastlog.
• /var/log/maillog /var/log/mail.log — журналы сервера электронной почты, запущенного в системе.
• /var/log/user.log — Информация из всех журналов на уровне пользователей.
• /var/log/Xorg.x.log — Лог сообщений Х сервера.
• /var/log/alternatives.log — Информация о работе программы update-alternatives. Это символические ссылки на команды или библиотеки по умолчанию.
• /var/log/btmp — лог файл Linux содержит информацию о неудачных попытках входа. Для просмотра файла удобно использовать команду last -f /var/log/btmp
• /var/log/cups — Все сообщения, связанные с печатью и принтерами.
• /var/log/anaconda.log — все сообщения, зарегистрированные при установке сохраняются в этом файле
• /var/log/yum.log — регистрирует всю информацию об установке пакетов с помощью Yum.
• /var/log/cron — Всякий раз когда демон Cron запускает выполнения программы, он записывает отчет и сообщения самой программы в этом файле.
• /var/log/secure — содержит информацию, относящуюся к аутентификации и авторизации. Например, SSHd регистрирует здесь все, в том числе неудачные попытки входа в систему.
• /var/log/wtmp или /var/log/utmp — системные логи Linux, содержат журнал входов пользователей в систему. С помощью команды wtmp вы можете узнать кто и когда вошел в систему.
• /var/log/faillog — лог системы linux, содержит неудачные попытки входа в систему. Используйте команду faillog, чтобы отобразить содержимое этого файла.
• /var/log/mysqld.log — файлы логов Linux от сервера баз данных MySQL.
• /var/log/httpd/ или /var/log/apache2 — лог файлы linux11 веб-сервера Apache. Логи доступа находятся в файле access_log, а ошибок в error_log
• /var/log/lighttpd/ — логи linux веб-сервера lighttpd
• /var/log/conman/ — файлы логов клиента ConMan,
• /var/log/mail/ — в этом каталоге содержатся дополнительные логи почтового сервера
• /var/log/prelink/ — Программа Prelink связывает библиотеки и исполняемые файлы, чтобы ускорить процесс их загрузки. /var/log/prelink/prelink.log содержит информацию о .so файлах, которые были изменены программой.
• /var/log/audit/— Содержит информацию, созданную демоном аудита auditd.
• /var/log/setroubleshoot/ — SE Linux использует демон setroubleshootd (SE Trouble Shoot Daemon) для уведомления о проблемах с безопасностью. В этом журнале находятся сообщения этой программы.
• /var/log/samba/ — содержит информацию и журналы файлового сервера Samba, который используется для подключения к общим папкам Windows.
• /var/log/sa/ — Содержит .cap файлы, собранные пакетом Sysstat.
• /var/log/sssd/ — Используется системным демоном безопасности, который управляет удаленным доступом к каталогам и механизмами аутентификации.

Просмотр логов в Linux

Чтобы посмотреть логи на Linux удобно использовать несколько утилит командной строки Linux. Это может быть любой текстовый редактор, или специальная утилита. Скорее всего, вам понадобятся права суперпользователя для того чтобы посмотреть логи в Linux. Вот команды, которые чаще всего используются для этих целей:

Я не буду останавливаться подробно на каждой из этих команд, поскольку большинство из них уже подробно рассмотрены на нашем сайте. Но приведу несколько примеров. Просмотр логов Linux выполняется очень просто:

Смотрим лог /var/log/dmesg, с возможностью прокрутки:

Источник