Перейти к содержанию

23.1 Практическая Logs

Ход работы

Часть 1. Ознакомление с логами

  1. Откройте системный лог:
less /var/log/syslog

(или /var/log/messages)

  1. Найдите:
  2. 3 различных события системы

Зафиксируйте: - дату и время - процесс - сообщение

Часть 2. Анализ логов аутентификации

  1. Откройте лог:
less /var/log/auth.log
  1. Найдите:
  2. успешный вход
  3. неудачную попытку входа
  4. Выполните поиск:
grep "Failed password" /var/log/auth.log

Определите: - IP-адреса - количество попыток

Часть 3. Работа с journalctl

  1. Просмотрите журнал:
journalctl -xe
  1. Логи за последний час:
journalctl --since "1 hour ago"
  1. Логи SSH:
journalctl -u sshd

Найдите: - 2–3 ошибки или предупреждения

Часть 4. Анализ логов сервисов

  1. Просмотрите лог (если есть):
tail -n 50 /var/log/nginx/access.log
  1. Найдите:
  2. IP-адреса клиентов
  3. коды ответа
  4. Определите частые IP:
awk '{print $1}' /var/log/nginx/access.log | sort | uniq -c | sort -nr

Сделайте вывод: - есть ли подозрительная активность

Часть 5. Фильтрация логов

  1. Найдите ошибки:
grep -i "error" /var/log/syslog
  1. Найдите события SSH:
grep "sshd" /var/log/auth.log

Опишите найденные события

Часть 6. Мониторинг в реальном времени

  1. Запустите:
tail -f /var/log/syslog
  1. Выполните любое действие (например, вход в систему)

Зафиксируйте: - какие записи появились