Ubuntu日志中有哪些重要提示

Ubuntu日志中的重要提示清单

一 核心日志文件与关键提示

二 高频危险信号与处置要点

• 短时间内大量 Failed password（如同一来源 IP 多次尝试）或针对 root 的爆破：优先封禁来源 IP，启用 Fail2ban，并改用密钥登录、禁用 root 远程登录。
• Accepted password 后出现 sudo 提权或异常命令执行：核对是否为合法维护，必要时回滚变更、强制下线可疑会话并重置凭据。
• SSH 服务被 killed 后迅速 restarted：可能存在“清会话/掩盖痕迹”行为，检查是否有异常进程、临时关闭不必要服务并加固。
• No space left on device（磁盘满）：立刻清理大文件/旧日志、扩容磁盘或迁移数据，避免系统与服务不可用。
• Read-only file system（只读文件系统）：多为磁盘/文件系统错误，检查 dmesg、文件系统一致性并尽快修复，避免数据损坏。
• Too many open files（打开文件过多）：排查进程泄漏或配置限制（ulimit/fd），必要时调优服务与内核参数。
• Permission denied（权限拒绝） 在关键路径（如 /etc/shadow、证书目录）：核查文件属主/权限与进程运行身份，防止配置错误或被篡改。
• DENIED 记录频繁出现在 ufw.log：确认是否为正常策略拦截，若异常则调整防火墙规则并溯源来源。
• crash 记录于 apport.log：收集崩溃报告、核心转储与版本信息，定位触发路径并升级/回退修复。
• Web 日志出现 4xx/5xx 爆发、SQL 注入特征（select/union/insert）、可疑 User-Agent：启用 WAF/ModSecurity、限速限流、封禁来源并修补应用漏洞。

三 快速排查命令与定位路径

• 当前启动的错误：执行 journalctl -p err -b；按服务查看：journalctl -u ssh；按时间窗：journalctl --since “2025-05-22 08:00:00” --until “2025-05-22 10:00:00”。
• 认证与登录：查看失败与成功登录 grep “Failed password” /var/log/auth.log、grep “Accepted password” /var/log/auth.log；统计失败账户 faillog；查看最近登录 lastlog、历史会话 last。
• 系统/内核：实时看系统消息 tail -f /var/log/syslog；内核与驱动 dmesg | grep -i error；内核日志 tail -f /var/log/kern.log。
• 软件变更：安装/升级/移除 grep -i “upgrade|install|remove” /var/log/apt/history.log；包管理细节 /var/log/dpkg.log；应用崩溃 /var/log/apport.log。
• 防火墙与 Web：拦截记录 grep “DENIED” /var/log/ufw.log；Web 访问与攻击特征 tail -f /var/log/nginx/access.log 或 /var/log/apache2/access.log。

四 长期监控与加固建议

• 自动化日报与告警：部署 Logwatch 生成每日摘要；结合 Fail2ban 自动封禁暴力破解来源。
• 日志保留与容量：配置 logrotate（如保留最近 7 个、每日轮转、压缩），防止磁盘被日志撑满。
• 集中化与可视化：规模较大时引入 ELK（Elasticsearch/Logstash/Kibana）或 Prometheus+Grafana 做实时采集、检索与告警。
• 审计能力：安装 auditd，用 ausearch 追踪关键文件访问与命令执行，满足合规与取证需求。