【Linux入侵日志排查】

在Linux系统中，不同的服务和应用程序可能会产生不同格式的日志记录。以下是一些常见类型的日志文件及其格式说明：

以下是一些常见的 Linux 日志字段格式说明，以及具体的示例：

1. /var/log/auth.log：此日志文件包含与身份验证相关的信息，例如用户登录、注销和失败的登录尝试。

示例：

Aug 29 11:30:14 myserver sshd[2222]: Accepted publickey for user1 from 192.168.1.100 port 56789 ssh2: RSA SHA256:1234567890abcdefg
Aug 29 11:30:14 myserver sshd[2222]: pam_unix(sshd:session): session opened for user user1 by (uid=0)
Aug 29 11:35:07 myserver sshd[2222]: Received disconnect from 192.168.1.100 port 56789:11: disconnected by user
Aug 29 11:35:07 myserver sshd[2222]: Disconnected from 192.168.1.100 port 56789
Aug 29 11:35:07 myserver sshd[2222]: pam_unix(sshd:session): session closed for user user1

字段说明：

• Aug 29 11:30:14：事件发生的时间戳。
• myserver：发生事件的系统的主机名。
• sshd[2222]：记录事件的进程名。
• Accepted publickey for user1 from 192.168.1.100 port 56789 ssh2: RSA SHA256:1234567890abcdefg：事件的详细描述。

2. /var/log/secure：此日志文件包含与安全相关的信息，例如 SELinux 相关的事件和身份验证事件。

示例：

Aug 29 11:30:14 myserver sshd[2222]: SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023
Aug 29 11:30:14 myserver sshd[2222]: SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023
Aug 29 11:30:14 myserver sshd[2222]: SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023
Aug 29 11:30:14 myserver sshd[2222]: SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023
Aug 29 11:30:14 myserver sshd[2222]: SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023
Aug 29 11:30:14 myserver sshd[2222]: SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023

字段说明：

• Aug 29 11:30:14：事件发生的时间戳。
• myserver：发生事件的系统的主机名。
• sshd[2222]：记录事件的进程名。
• SELinux: sshd_set_selinux_context called with security context system_u:system_r:sshd_t:s0-s0:c0.c1023：事件的详细描述。

3. /var/log/messages：此日志文件包含与系统消息相关的信息，例如系统启动、关机、软件包安装和系统错误。

示例：

Aug 29 11:30:14 myserver kernel: imklog 5.8.10, log source = /proc/kmsg started.
Aug 29 11:30:14 myserver rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="939" x-info="http://www.rsyslog.com"] start
Aug 29 11:30:14 myserver systemd[1]: Started System Logging Service.
Aug 29 11:30:14 myserver systemd[1]: Reached target System Logging.
Aug 29 11:30:14 myserver systemd[1]: systemd-tmpfiles-setup-dev.service: Succeeded.
Aug 29 11:30:14 myserver systemd[1]: Finished Create Volatile Files and Directories.

字段说明：

• Aug 29 11:30:14：事件发生的时间戳。
• myserver：发生事件的系统的主机名。
• kernel：记录事件的进程名。
• imklog 5.8.10, log source = /proc/kmsg started.：事件的详细描述。

4. /var/log/syslog：此日志文件包含与系统相关的信息，例如系统启动、关机、软件包安装和系统错误。

示例：

Aug 29 11:30:14 myserver kernel: imklog 5.8.10, log source = /proc/kmsg started.
Aug 29 11:30:14 myserver rsyslogd: [origin software="rsyslogd" swVersion="5.8.10" x-pid="939" x-info="http://www.rsyslog.com"] start
Aug 29 11:30:14 myserver systemd[1]: Started System Logging Service.
Aug 29 11:30:14 myserver systemd[1]: Reached target System Logging.
Aug 29 11:30:14 myserver systemd[1]: systemd-tmpfiles-setup-dev.service: Succeeded.
Aug 29 11:30:14 myserver systemd[1]: Finished Create Volatile Files and Directories.

字段说明：

• Aug 29 11:30:14：事件发生的时间戳。
• myserver：发生事件的系统的主机名。
• kernel：记录事件的进程名。
• imklog 5.8.10, log source = /proc/kmsg started.：事件的详细描述。

5. /var/log/lastlog：此日志文件包含每个用户最近一次登录的信息。

示例：

root     pts/0        192.168.1.100  Wed Aug 29 11:30:14 2018
user1    pts/1        192.168.1.101  Thu Aug 30 09:15:23 2018
user2    pts/2        192.168.1.102  Fri Sep 01 14:30:45 2018

字段说明：

• root：用户名。
• pts/0：终端名称。
• 192.168.1.100：登录时的 IP 地址。
• Wed Aug 29 11:30:14 2018：最近一次登录的时间戳。

6. /var/log/wtmp：此日志文件包含与用户登录相关的信息。

示例：

root     pts/0        192.168.1.100  Wed Aug 29 11:30:14 2018
user1    pts/1        192.168.1.101  Thu Aug 30 09:15:23 2018
user2    pts/2        192.168.1.102  Fri Sep 01 14:30:45 2018

字段说明：

• root：用户名。
• pts/0：终端名称。
• 192.168.1.100：登录时的 IP 地址。
• Wed Aug 29 11:30:14 2018：登录时间戳。

7. /var/log/btmp：此日志文件包含与失败的用户登录尝试相关的信息。

示例：

root     pts/0        192.168.1.100  Wed Aug 29 11:30:14 2018
user1    pts/1        192.168.1.101  Thu Aug 30 09:15:23 2018
user2    pts/2        192.168.1.102  Fri Sep 01 14:30:45 2018

字段说明：

• root：用户名。
• pts/0：终端名称。
• 192.168.1.100：登录时的 IP 地址。
• Wed Aug 29 11:30:14 2018：登录时间戳。

8. Apache访问日志（/var/log/apache2/access.log）：

   Apache访问日志记录了所有向Apache服务器发出的请求。一个典型的Apache访问日志记录如下：

   192.168.1.100 - - [10/Feb/2022:15:20:30 +0000] "GET /index.html HTTP/1.1" 200 1024
   

   格式说明：

   • 客户端IP地址（192.168.1.100）：发出请求的客户端IP地址。
   • 标识符（-）：通常是一个连字符，表示客户端标识符未知。
   • 用户名（-）：通常是一个连字符，表示客户端用户名未知。
   • 时间戳（[10/Feb/2022:15:20:30 +0000]）：事件发生的日期和时间，以及时区。
   • 请求（GET /index.html HTTP/1.1）：客户端发出的HTTP请求。
   • 状态码（200）：服务器对请求的响应状态码。
   • 响应大小（1024）：服务器响应的内容大小，以字节为单位。

9. Apache错误日志（/var/log/apache2/error.log）：

   Apache错误日志记录了Apache服务器的错误和诊断信息。一个典型的Apache错误日志记录如下：

   [Wed Feb 10 15:20:30.123456 2022] [core:error] [pid 12345] [client 192.168.1.100:1234] File does not exist: /var/www/html/favicon.ico
   

   格式说明：

   • 时间戳（Wed Feb 10 15:20:30.123456 2022）：事件发生的日期和时间。
   • 日志级别和模块（[core:error]）：产生日志记录的模块名称和错误级别。
   • 进程ID（pid 12345）：产生日志记录的进程ID（PID）。
   • 客户端信息（client 192.168.1.100:1234）：发出请求的客户端IP地址和端口号。
   • 消息（File does not exist: /var/www/html/favicon.ico）：日志记录的具体消息。

10. Nginx访问日志（/var/log/nginx/access.log）：

Nginx访问日志记录了所有向Nginx服务器发出的请求。一个典型的Nginx访问日志记录如下：

192.168.1.100 - - [10/Feb/2022:15:20:30 +0000] "GET /index.html HTTP/1.1" 200 1024 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

格式说明：

• 客户端IP地址（192.168.1.100）：发出请求的客户端IP地址。
• 标识符（-）：通常是一个连字符，表示客户端标识符未知。
• 用户名（-）：通常是一个连字符，表示客户端用户名未知。
• 时间戳（[10/Feb/2022:15:20:30 +0000]）：事件发生的日期和时间，以及时区。
• 请求（GET /index.html HTTP/1.1）：客户端发出的HTTP请求。
• 状态码（200）：服务器对请求的响应状态码。
• 响应大小（1024）：服务器响应的内容大小，以字节为单位。
• 引用页面（“-”）：发出请求的页面的URL。在这个例子中，没有引用页面。
• 用户代理（“Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)”）：客户端浏览器或爬虫的用户代理字符串。

11. Nginx错误日志（/var/log/nginx/error.log）：

Nginx错误日志记录了Nginx服务器的错误和诊断信息。一个典型的Nginx错误日志记录如下：

2022/02/10 15:20:30 [error] 12345#12345: *1 open() "/var/www/html/favicon.ico" failed (2: No such file or directory), client: 192.168.1.100, server: example.com, request: "GET /favicon.ico HTTP/1.1", host: "example.com"

格式说明：

• 时间戳（2022/02/10 15:20:30）：事件发生的日期和时间。
• 日志级别（[error]）：错误级别。
• 进程ID和线程ID（12345#12345）：产生日志记录的进程ID（PID）和线程ID。
• 连接ID（*1）：Nginx为每个连接分配的唯一ID。
• 消息（open() “/var/www/html/favicon.ico” failed (2: No such file or directory)）：日志记录的具体消息。
• 客户端信息（client: 192.168.1.100）：发出请求的客户端IP地址。
• 服务器名称（server: example.com）：Nginx服务器的名称。
• 请求（request: “GET /favicon.ico HTTP/1.1”）：客户端发出的HTTP请求。
• 主机（host: “example.com”）：请求的主机名。

这些日志文件只是Linux系统中众多日志文件的一部分。不同的服务和应用程序可能会产生不同格式的日志记录。在分析日志时，请参考相关文档以了解日志格式和字段的具体含义。使用cat、grep、awk等命令来过滤和分析日志文件。
12. MySQL错误日志（/var/log/mysql/error.log）：

MySQL错误日志记录了MySQL数据库服务器的错误和诊断信息。一个典型的MySQL错误日志记录如下：

2022-02-10T15:20:30.123456Z 12345 [Note] Access denied for user 'invaliduser'@'192.168.1.100' (using password: YES)

格式说明：

• 时间戳（2022-02-10T15:20:30.123456Z）：事件发生的日期和时间，采用ISO 8601格式。
• 进程ID（12345）：产生日志记录的进程ID（PID）。
• 日志级别（[Note]）：错误级别。
• 消息（Access denied for user ‘invaliduser’@‘192.168.1.100’ (using password: YES)）：日志记录的具体消息。

13. PostgreSQL日志（/var/log/postgresql/postgresql-<version>-main.log）：

PostgreSQL日志记录了PostgreSQL数据库服务器的操作和错误信息。一个典型的PostgreSQL日志记录如下：

2022-02-10 15:20:30 UTC [12345]: [1-1] user=invaliduser,db=mydb,client=192.168.1.100 ERROR:  syntax error at or near "SELECTT" at character 8

格式说明：

• 时间戳（2022-02-10 15:20:30 UTC）：事件发生的日期和时间。
• 进程ID（12345）：产生日志记录的进程ID（PID）。
• 会话信息（[1-1]）：包含会话ID和命令计数器的会话信息。
• 用户、数据库和客户端信息（user=invaliduser,db=mydb,client=192.168.1.100）：发出请求的用户、数据库和客户端IP地址。
• 错误级别和消息（ERROR: syntax error at or near “SELECTT” at character 8）：错误级别和具体消息。

14. Docker日志：

Docker容器的日志可以通过docker logs命令查看。这些日志通常是容器中运行的应用程序的标准输出和标准错误。日志格式因应用程序而异，因此请参考相关文档以了解日志格式和字段的具体含义。

查看Docker容器的日志：

docker logs container_name_or_id

这些仅是Linux系统中各种日志文件的一部分。在分析日志时，请参考相关文档以了解日志格式和字段的具体含义。使用cat、grep、awk等命令来过滤和分析日志文件。

其它日志

以下是一些其他常见的 Linux 日志文件及其字段格式说明：

1. /var/log/dmesg：此日志文件包含与内核启动和运行相关的信息。

字段说明：

• timestamp：事件发生的时间戳。
• hostname：发生事件的系统的主机名。
• process：记录事件的进程名。
• message：事件的详细描述。

2. /var/log/kern.log：此日志文件包含与内核相关的信息，例如硬件故障和驱动程序错误。

字段说明：

• timestamp：事件发生的时间戳。
• hostname：发生事件的系统的主机名。
• process：记录事件的进程名。
• message：事件的详细描述。

3. /var/log/cron：此日志文件包含与计划任务（cron）相关的信息，例如计划任务的执行和错误。

字段说明：

• timestamp：事件发生的时间戳。
• hostname：发生事件的系统的主机名。
• process：记录事件的进程名。
• message：事件的详细描述。

4. /var/log/maillog：此日志文件包含与电子邮件服务器相关的信息，例如邮件传输和接收。

字段说明：

• timestamp：事件发生的时间戳。
• hostname：发生事件的系统的主机名。
• process：记录事件的进程名。
• message：事件的详细描述。

5. /var/log/boot.log：此日志文件包含与系统启动相关的信息，例如系统启动过程中的错误和警告。

字段说明：

• timestamp：事件发生的时间戳。
• hostname：发生事件的系统的主机名。
• process：记录事件的进程名。
• message：事件的详细描述。

6. /var/log/dpkg.log：此日志文件包含与软件包安装和卸载相关的信息。

字段说明：

• timestamp：事件发生的时间戳。
• hostname：发生事件的系统的主机名。
• process：记录事件的进程名。
• message：事件的详细描述。

7. /var/log/faillog：此日志文件包含与失败的用户登录尝试相关的信息。

字段说明：

• timestamp：事件发生的时间戳。
• username：用户名。
• hostname：发生事件的系统的主机名。
• process：记录事件的进程名。
• message：事件的详细描述。

请注意，这些日志文件的格式可能因发行版和配置而异。在分析日志时，请确保了解您的系统的具体配置。

各种类型的Web服务器有不同的日志路径和日志格式。以下是一些常见的Web服务器及其日志路径、日志案例和字段说明：

1. Apache HTTP服务器

日志路径：默认情况下，Apache的访问日志路径为/var/log/apache2/access.log（在Debian/Ubuntu系统上）或/var/log/httpd/access_log（在RedHat/CentOS系统上）。

日志案例：

127.0.0.1 - - [15/Nov/2021:10:30:00 +0000] "GET /index.html HTTP/1.1" 200 2326 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"

字段说明：

• 127.0.0.1：客户端IP地址
• -：表示标识符，通常为"-"，因为它很少使用
• -：表示用户身份，通常为"-"，因为它很少使用
• [15/Nov/2021:10:30:00 +0000]：访问时间
• “GET /index.html HTTP/1.1”：请求方法、请求URI和HTTP协议版本
• 200：HTTP状态码
• 2326：响应大小（以字节为单位）
• “-”：表示referrer，通常为"-"，因为它很少使用
• “Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3”：用户代理字符串

2. Nginx服务器

日志路径：默认情况下，Nginx的访问日志路径为/var/log/nginx/access.log。

日志案例：

127.0.0.1 - - [15/Nov/2021:10:30:00 +0000] "GET /index.html HTTP/1.1" 200 2326 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"

字段说明：与Apache HTTP服务器的字段说明相同。

3. IIS（Internet Information Services）服务器

日志路径：默认情况下，IIS的访问日志路径为%SystemDrive%\inetpub\logs\LogFiles。

日志案例：

2021-11-15 10:30:00 127.0.0.1 GET /index.html - 80 - 127.0.0.1 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/58.0.3029.110+Safari/537.3 200 0 0 15

字段说明：

• 2021-11-15 10:30:00：访问时间
• 127.0.0.1：客户端IP地址
• GET：请求方法
• /index.html：请求URI
• -：表示查询字符串，通常为"-"，因为它很少使用
• 80：服务器端口
• -：表示用户身份，通常为"-"，因为它很少使用
• 127.0.0.1：服务器IP地址
• Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/58.0.3029.110+Safari/537.3：用户代理字符串
• 200：HTTP状态码
• 0：Win32状态码
• 0：子状态码
• 15：响应时间（以毫秒为单位）

除了上述常见的Web服务器日志外，还有其他一些Web服务器和应用服务器，它们也有自己的日志路径和格式。以下是一些补充示例：

4. Tomcat服务器

日志路径：默认情况下，Tomcat的访问日志路径为$CATALINA_HOME/logs/localhost_access_log.YYYY-MM-DD.txt。

日志案例：

127.0.0.1 - - [15/Nov/2021:10:30:00 +0000] "GET /index.jsp HTTP/1.1" 200 2326

字段说明：

• 127.0.0.1：客户端IP地址
• -：表示远程用户，通常为"-"，因为它很少使用
• [15/Nov/2021:10:30:00 +0000]：访问时间
• “GET /index.jsp HTTP/1.1”：请求方法、请求URI和HTTP协议版本
• 200：HTTP状态码
• 2326：响应大小（以字节为单位）

5. Lighttpd服务器

日志路径：默认情况下，Lighttpd的访问日志路径为/var/log/lighttpd/access.log。

日志案例：

127.0.0.1 127.0.0.1 - [15/Nov/2021:10:30:00 +0000] "GET /index.html HTTP/1.1" 200 2326 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"

字段说明：与Apache HTTP服务器的字段说明相同，但在客户端IP地址后面多了一个服务器IP地址字段。

6. Caddy服务器

日志路径：Caddy默认没有访问日志，但可以通过配置启用。访问日志路径取决于配置文件中的设置。

日志案例：

{"level":"info","ts":1636968600.123456,"logger":"http.log.access","msg":"handled request","request":{"remote_addr":"127.0.0.1:12345","proto":"HTTP/1.1","method":"GET","host":"localhost","uri":"/index.html","headers":{"User-Agent":["Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.3"]}},"common_log":"127.0.0.1 - - [15/Nov/2021:10:30:00 +0000] \"GET /index.html HTTP/1.1\" 200 2326","duration":0.000123,"size":2326,"status":200,"resp_headers":{"Server":["Caddy"],"Content-Type":["text/html"]}}

字段说明：Caddy服务器的日志格式为JSON，包含以下字段：

• level：日志级别（如info、error等）
• ts：时间戳
• logger：记录器名称
• msg：日志消息
• request：请求详细信息，包括远程地址、协议、方法、主机、URI和请求头等
• common_log：通用日志格式，与Apache和Nginx类似
• duration：请求处理时间（以秒为单位）
• size：响应大小（以字节为单位）
• status：HTTP状态码
• resp_headers：响应头信息

请注意，上述示例中的路径和格式可能会因服务器配置和版本而有所不同。你可以根据需要在服务器配置文件中自定义日志路径和格式。