Ubuntu DHCP如何日志分析

Ubuntu DHCP日志分析指南

一 日志来源与定位

• 服务器端（ISC DHCP Server）
  • 使用 journalctl 查看服务日志：sudo journalctl -u isc-dhcp-server -f（按服务名查看，支持实时跟踪）。
  • 查看系统日志：sudo tail -f /var/log/syslog | grep dhcpd（Ubuntu 主日志通常为 /var/log/syslog）。
  • 租约信息：/var/lib/dhcp/dhcpd.leases（记录已分配的 IP、MAC、租约起止时间等，便于核对地址分配与冲突）。
• 客户端（dhcpcd）
  • 查看客户端日志：sudo journalctl -u dhcpcd -f，或 sudo journalctl -u isc-dhcp-client -f（不同系统可能使用不同客户端服务名）。
• 提示
  • 若未找到输出，先确认服务名：systemctl list-units | grep dhcp。
  • 历史轮转文件可用 zcat /var/log/syslog.1.gz | grep dhcpd 查看。

二 快速排查命令清单

• 实时查看服务器日志：sudo journalctl -u isc-dhcp-server -f
• 按时间范围检索：sudo journalctl -u isc-dhcp-server --since "2025-12-16 09:00:00" --until "2025-12-16 10:00:00"
• 在系统日志中筛选 DHCP 关键字：sudo tail -n 200 /var/log/syslog | grep -i dhcp
• 查看租约分配情况：less /var/lib/dhcp/dhcpd.leases
• 客户端获取失败定位：sudo journalctl -u dhcpcd -b（查看本次启动以来的 DHCP 客户端日志）

三 日志解读要点

• DHCP 交互四步
  • 客户端发送 DHCPDISCOVER → 服务器回应 DHCPOFFER → 客户端请求 DHCPREQUEST → 服务器确认 DHCPACK。
  • 在日志中看到这四个关键字的成对出现，通常代表一次成功的地址分配流程。
• 常见错误关键词
  • DHCPNAK（拒绝分配，常见于地址池耗尽、静态租约冲突、策略不匹配）。
  • No free leases（无可用租约，检查子网掩码、地址池范围与已分配租约）。
  • BOUND/RENEW/REBIND/RELEASE（租约状态变更，便于判断客户端续租是否正常）。
• 结合租约文件核对
  • 用 /var/lib/dhcp/dhcpd.leases 中的 MAC 与日志中的 Client MAC 对照，确认是否为同一设备的分配记录。

四 将 DHCP 日志单独归集（可选）

• 修改服务器配置 /etc/dhcp/dhcpd.conf，指定日志设施：
  • 添加：log-facility local4;
• 配置 rsyslog 将 local4 单独写入文件（如 /var/log/dhcp.log）：
  • 在 /etc/rsyslog.conf 或 /etc/rsyslog.d/50-dhcp.conf 中添加：local4.* /var/log/dhcp.log
• 创建日志文件并设置权限：
  • sudo touch /var/log/dhcp.log && sudo chmod 640 /var/log/dhcp.log
• 重启服务生效：
  • sudo systemctl restart rsyslog && sudo systemctl restart isc-dhcp-server

五 与抓包联动定位复杂问题

• 在 Ubuntu 上用 Wireshark 抓包，过滤目标设备的 DHCP 流量：
  • 显示过滤：bootp || dhcp（DHCP 基于 BOOTP）。
  • 若已知客户端 MAC（如 ee:ff:00:44:55:66），可进一步限定：bootp || dhcp && eth.addr == ee:ff:00:44:55:66。
• 将抓包中的 DHCPDISCOVER/OFFER/REQUEST/ACK 与系统日志逐条对照，可快速判断是服务器策略问题、地址冲突，还是网络丢包/延迟导致的分配异常。