centos minimal怎样进行日志分析

CentOS Minimal 日志分析实操指南

一 核心工具与日志位置

• 使用 journalctl 查看 systemd 日志：如 journalctl -b（本次启动）、journalctl -f（实时）、journalctl -u sshd（指定服务）。
• 直接查看 /var/log 下的文件型日志：常见有 /var/log/messages（系统消息）、/var/log/secure（认证与安全，如 SSH）、/var/log/boot.log（启动过程）、/var/log/cron（定时任务）、/var/log/audit/audit.log（审计日志）、以及 /var/log/dmesg（内核环缓冲，亦可用命令 dmesg 查看）。
• Minimal 版本默认精简，必要时安装补充工具（如 logwatch、rsyslog、auditd、sysstat）以增强分析与审计能力。

二 常见场景与命令组合

• 实时监控关键服务：例如跟踪 sshd 的最新日志
  journalctl -u sshd -f
• 按时间窗口排查：例如查看某天 9:00–18:00 的全局日志
  journalctl --since “2025-12-11 09:00” --until “2025-12-11 18:00”
• 只关注错误级别：例如仅显示错误及以上级别
  journalctl -p err -b
• 安全事件筛查：例如统计 SSH 登录失败 次数
  grep -c “Failed password” /var/log/secure
• 内核与驱动问题：例如查看 dmesg 中的 error
  dmesg | grep -i error
• 启动问题定位：例如查看本次启动日志
  journalctl -b
  以上命令可组合管道进一步筛选与统计，例如：journalctl -u nginx | grep “404” | wc -l。

三 日志管理与长期分析

• 日志轮转：使用 logrotate 防止日志无限增长，配置位于 /etc/logrotate.conf 与 /etc/logrotate.d/；必要时可手动触发轮转（如 logrotate -f /etc/logrotate.conf）。
• 远程集中与审计：通过 rsyslog 将日志发送至远程日志服务器；启用 auditd 记录系统调用与关键审计事件（编辑 /etc/audit/audit.rules 后重启服务）。
• 性能关联分析：安装 sysstat 收集 CPU、内存、I/O 等指标，便于将异常日志与性能指标关联定位。
• 自动化日报：安装 logwatch 并配置邮件发送摘要（yum -y install logwatch），用于日常巡检。

四 集中式日志方案选型

• 轻量采集到可视化：搭建 EFK（Elasticsearch + Filebeat + Kibana），Filebeat 负责低开销采集，Elasticsearch 存储与检索，Kibana 负责分析与可视化；适合中小规模与资源受限环境。
• 全功能处理链：部署 ELK（Elasticsearch + Logstash + Kibana），Logstash 在数据入湖前提供更强的解析与处理能力。
• 商业方案：使用 Splunk 进行日志搜索、监控与可视化，适合需要完善支持与快速落地的团队。
• 资源提示：Elasticsearch/Kibana 较吃内存，单机建议至少 2–4 GB 内存 起步，生产环境按需扩展集群与缓存。