分析Linux 日志分析实战:深入分析Log信息(linuxlog日志)

Linux 日志分析实战:深入分析Log信息

Log 是系统软件、应用程序产生的跟服务器,网站或网络相关的文本文件,它包含了系统异常错误、应用程序错误、网络日志、安全日志等等。正常情况下,Log 信息的解析往往交由专业的日志分析软件完成。这些分析软件可以分析 Log 信息来探讨问题,如可用性,故障,性能等。本文将带领读者一步步搭建 CentOS 系统上的安全日志分析实践平台,把日志里的安全分析信息提取出来。

开始之前,首先在系统上安装logstash,它是 ELK Stack 日志分析的主干。使用下面的命令安装

“`bash

# yum install logstash

安装完之后,可以使用下面的配置文件 logstash.conf 让 logstash 在本地系统上监控某个文件夹的文件变化:

input {

file {

type =>”log”

path => “/var/syslog/cos/*log”

start_position => beginning

sincedb_path => “/dev/null”

}

}

filter {

grok {

match => {

“message” => “%{TIME:time} %{IP:src_ip} %{DATA:functional} “

“%{WORD:process_name} %{DATA:client_ip} %{DATA:op} %{GREEDYDATA:msg} “

“%{USERNAME:user}”

}

add_field => [“@log_file_path”,”/var/syslog/cos/private.log”]

}

grok {

match => {

“message” => “%{DATE_EU:time} %{IP:src_ip} %{USERNAME:user} %{WORD:proto} %{DATA:func} %{DATA:conn_address} %{GREEDYDATA:msg} “

“%{USERNAME:user}”

}

add_field => [“@log_file_path”,”/var/syslog/cos/error.log”]

}

date {

match => [ “time” , “dd/MMM/yyyy:HH:mm:ss Z” ]

}

geoip {

source => “src_ip”

target => “geoip”

add_field => [ “[geoip][coordinates]”, “%{[geoip][longitude]}” ]

add_field => [ “[geoip][coordinates]”, “%{[geoip][latitude]}” ]

GPVSRZ

}

mutate {

convert => [ “[geoip][coordinates]”, “float” ]

}

}

output {

elasticsearch {

hosts => “localhost”

index => “logstash-security_%{+YYYY.MM.dd}”

document_type => “%{[@metadata][type]}”

}

stdout {

pretty => true

}

}

这段代码配置了两个日志文件:private.log和error.log。分别从这两个文件中提取src_ip,functional,process_name,op,msg,user等信息。logstash通过读取这些信息,解析出它们的位置,然后通过 Elasticsearch 将它们存储起来。
最后,可以使用 Kibana 将日志信息可视化, Kibana 会将它们转换为图表,报告等,用户可以用图表来分析系统故障,性能,安全漏洞等等,为系统管理者提供有价值的日志分析服务,做出更加明智的决策。

总之,深入分析Log信息可以帮助用户更清楚地了解系统运行状态和性能,帮助企业提高运维效率与系统可用性,保证系统安全性。本文详细介绍了基于 CentOS 平台下的 Log 分析实践细节,搭建了一个可以利用 ELK Stack 对 Log 信息分析的实战平台,读者可以根据自身需求,修改 logstash 的配置文件,对各种信息进行过滤和解析,从而获得有价值的 Log 信息分析报告。

数据运维技术 » 分析Linux 日志分析实战:深入分析Log信息(linuxlog日志)