记录一次ssh日志分析和apache日志分析

### SSH与Apache日志分析详解 #### 一、概述 在运维工作中，日志分析是一项重要的任务，通过分析系统产生的各种日志文件可以帮助我们更好地理解系统的运行状况，及时发现潜在的安全威胁并采取措施应对。本文将详细介绍如何进行SSH日志分析和Apache日志分析。 #### 二、SSH日志分析 SSH（Secure Shell）是一种加密的网络传输协议，用于计算机之间的不安全网络上的数据通信。SSH日志包含了关于用户登录尝试的信息，包括成功的和失败的尝试，这对于监控和审计系统的安全性至关重要。 ##### 2.1 查看系统情况 我们需要了解当前系统的网络连接情况，这可以通过命令`netstat -anptl`来实现。该命令显示了所有正在监听的端口以及它们的状态。具体字段含义如下： - **Proto**：协议类型，如TCP、UDP等。 - **RecV-Q**：接收队列长度，如果长时间处于较高值，可能表明系统遭受了DoS攻击。 - **Send-Q**：发送队列长度，若该值无法快速清零，则可能是因为应用程序发送数据包过快或远程主机接收数据慢。 - **LocalAddress**：本地地址，可以是IPv4或IPv6格式。例如： - `*:80`表示监听所有IPV4或IPv6的80端口； - `:::80`表示同时监听IPv6和IPv4的所有IP的80端口； - `0.0.0.0:80`表示监听所有IPv4地址的80端口； - `127.0.0.1:80`表示只监听本地的80端口； - `::1:80`表示只监听本地IPv6的回环地址； - `192.168.0.113:22`表示监听特定IP地址192.168.0.113的22端口。 - **ForeignAddress**：外部地址，其规则与LocalAddress相同。 - **State**：连接状态，如： - `LISTEN`表示端口正在监听连接请求； - `SYN_SENT`表示客户端已发送SYN请求，等待服务器确认； - `SYN_RECV`表示服务器已接收SYN请求，并发送SYN+ACK； - `ESTABLISHED`表示连接已建立。 - **PID/Programname**：进程ID和程序名称。 ##### 2.2 账号安全检查 通过命令`who`, `w`和`uptime`可以查看当前登录的用户及登录时间。如果发现有可疑的IP地址远程登录主机，则需要进一步排查SSH的登录情况。 ##### 2.3 查看SSH日志信息 SSH的日志通常保存在`/var/log/auth.log`中，可以通过以下步骤进行查看： - **第一步：查看登录成功的日志** 由于auth.log通常是二进制文件，所以在使用`grep`时需要添加`-a`参数，以确保能够正确读取文本内容。命令如下： ``` cat /var/log/auth.log | grep -a "Accepted" ``` - **第二步：查看正常退出的日志** 命令如下： ``` cat /var/log/auth.log | grep -a "pam_unix(sshd:session):session closed" ``` - **第三步：查看取消连接的情况** 当用户连接到服务器但在提示输入密码时取消操作，会留下如下日志： ``` May 23 03:59:48 gfriEND sshd[3910]: Address 192.168.0.108 maps to bogon, but this does not map back to the address - POSSIBLE BREAK-IN ATTEMPT! May 23 03:59:53 gfriEND sshd[3910]: Connection closed by 192.168.0.108 [preauth] ``` - **第四步：查看密码输入错误的日志** 当用户输入错误的密码时，会在日志中留下类似以下的信息： ``` May 23 04:15:04 gfriEND sshd[4172]: pam_unix(sshd:auth): authentication failure; logname= uid=0 euid=0 tty=ssh ruser= rhost=bogon user=alice May 23 04:15:11 gfriEND sshd[4172]: Failed password for alice from 192.168.0.108 port 41042 ssh2 ``` #### 三、Apache日志分析 Apache是一款广泛使用的Web服务器软件，它的日志记录对于监控网站流量、优化性能以及排查问题至关重要。 ##### 3.1 Apache日志文件位置 Apache的日志文件通常位于`/var/log/apache2/`目录下，主要包括两种类型的日志文件： - **访问日志（access_log）**：记录了客户端对服务器的所有访问记录。 - **错误日志（error_log）**：记录了服务器运行过程中遇到的问题和错误信息。 ##### 3.2 分析访问日志 访问日志包含了大量的客户端请求信息，通过分析这些信息可以了解到用户的访问习惯、热点页面等信息。访问日志的典型格式如下： ``` <客户端IP> - - [<访问时间>] "<请求方法> <请求URL> <HTTP版本>" <状态码> <响应大小> ``` 例如： ``` 192.168.0.108 - - [23/May/2023:04:12:16] "GET /index.html HTTP/1.1" 200 1234 ``` - **客户端IP**：发出请求的客户端IP地址。 - **访问时间**：请求发生的时间。 - **请求方法**：如GET、POST等。 - **请求URL**：请求的具体资源路径。 - **HTTP版本**：请求使用的HTTP协议版本。 - **状态码**：服务器返回的状态码。 - **响应大小**：响应体的大小。 通过以上信息，我们可以了解用户的访问行为，如哪些页面最受欢迎、哪些资源存在问题等。 ##### 3.3 分析错误日志 错误日志记录了Apache在运行过程中遇到的各种错误信息，这对于诊断问题非常重要。常见的错误包括配置错误、权限问题等。错误日志中的一条记录可能类似于下面的例子： ``` [Wed May 23 04:15:11 2023] [error] [client 192.168.0.108] File does not exist: /var/www/html/index.html ``` - **时间**：错误发生的精确时间。 - **级别**：错误的严重程度。 - **客户端**：发起请求的客户端IP地址。 - **错误详情**：具体的错误描述。 #### 四、总结 通过对SSH日志和Apache日志的详细分析，我们不仅可以了解系统的运行状态，还可以发现潜在的安全威胁。对于运维人员来说，熟练掌握这些日志分析技巧是非常重要的。希望本文提供的指南能帮助大家更好地进行日志分析工作。