CentOS DHCP服务器日志分析方法

CentOS DHCP 服务器日志分析方法

一 日志来源与定位

• 使用 systemd 的系统优先通过 journalctl 查看 DHCP 服务日志：sudo journalctl -u dhcpd；也可按时间过滤，例如：sudo journalctl -u dhcpd --since “2025-12-01” --until “2025-12-31”。
• 在 CentOS 7/8 上，ISC DHCP 的日志默认常写入 /var/log/messages 或 /var/log/syslog，可用 grep 过滤：grep dhcpd /var/log/messages。
• 租约分配明细不在系统日志中，而在租约数据库 /var/lib/dhcpd/dhcpd.leases（该文件持续追加，记录每次租约的 IP、MAC、主机名、起止时间、状态 等）。
• 若系统使用 Kea DHCP 或 dnsmasq，日志路径与命令不同：Kea 常用 journalctl -u kea 或 /var/log/kea/kea.log；dnsmasq 常用 journalctl -u dnsmasq 或 /var/log/dnsmasq.log。

二 将 DHCP 日志单独归集到指定文件

• 在 /etc/dhcp/dhcpd.conf 中声明本地设施：log-facility local4;
• 在 /etc/rsyslog.conf 或 /etc/rsyslog.d/dhcp.conf 中添加：local4.* /var/log/dhcpd.log；同时建议在系统日志规则中排除 local4，避免重复写入（如：*.info;…;local4.none /var/log/messages）。
• 创建日志文件并设置权限：touch /var/log/dhcpd.log && chmod 640 /var/log/dhcpd.log。
• 重启服务使配置生效：systemctl restart rsyslog && systemctl restart dhcpd。
• 验证：tail -f /var/log/dhcpd.log 应能看到 DHCP 报文日志。

三 关键日志关键词与报文流程解读

• 典型 DHCPv4 交互在日志中对应如下关键词（可用于快速定位卡在哪一阶段）：
  • 发现阶段：DHCPDISCOVER（客户端广播寻找服务器）
  • 提供阶段：DHCPOFFER（服务器提供地址）
  • 请求阶段：DHCPREQUEST（客户端确认请求某地址）
  • 确认阶段：DHCPACK（服务器确认分配）
  • 拒绝阶段：DHCPNAK（服务器拒绝请求）
  • 释放阶段：DHCPRELEASE（客户端主动释放）
• 常见错误与排查要点：
  • 地址冲突检测失败：出现 “ICMP ECHO reply to OFFER candidate” 表示待分配的地址已被占用，可能因多台 DHCP 服务器争用或静态地址冲突，需统一地址规划并排查 “ rogue DHCP ”。
  • 找不到网络表或地址记录：如 “no dhcp-network table”“No corresponding dhcp network record”，应检查子网声明是否缺失或被误删。
  • 地址被标记为不可用：如 “currently marked as unusable”，需在地址池中恢复该地址为可用。

四 高效排查命令与实用分析技巧

• 实时查看服务日志：journalctl -u dhcpd -f；按时间窗口检索：journalctl -u dhcpd --since today。
• 从系统日志筛选 DHCP：tail -f /var/log/messages | grep dhcpd；或 grep -i “dhcp|offer|ack|nak” /var/log/messages。
• 分页浏览与检索：less /var/log/syslog（进入后 /dhcp 搜索）；配合 grep -A/-B/-C 查看上下文。
• 租约核对与审计：tail -n 200 /var/lib/dhcpd/dhcpd.leases，关注 lease、starts/ends、binding state、hardware ethernet、client-hostname，用于确认某 MAC/IP 的分配与到期时间。
• 多服务器/多作用域定位：在日志中结合 interface 与 giaddr（中继场景）判断报文来源与所属网段，快速识别跨网段或中继配置问题。

五 常见问题快速判断表