Blog

Linux Log İnceleme İpuçları

Merhaba !

Linux işletim sistemlerinde tutulan log kayıtlarının incelenmesine yönelik olarak bazı ipuçlarından bahsedeceğim. Log analizi adli bilişim açısından önemli bir yere sahiptir. Bu kayıtlar sayesinde sistem üzerinde yapılan işlemleri, kurulan bağlantıları, sistemde çalıştırılan komutlar ve daha fazlasını geçmişe yönelik olarak inceleyebilmekteyiz. Bu blog içerisinde çok detaylı log analiz işlemi yapmacağız. Sadece log kayıtlarının incelenmesi esnasında hangi bilgiyi hangi dizin altında bulabileceğimizden bahsedeceğim.

Not: Syslog kayıtlarına shell üzerinden doğrudan kayıt eklemek için logger aracı kullanılabilir.

  • Sistem log kayıtlarının bulunduğu dosya path’i:

>> /var/log/syslog

  • Linux authentication loglarını, sistem login kayıtlarının ve ssh vs. loggin kayıtlarının tutulduğu log dosyası:

>> /var/log/auth.log

  • Linux sisteminin boot aşamasında tutulan kayıtların bulunduğu dosya:

Bu dosyayı açmak dmesg komutuda kullanılabilir.

>> /var/log/dmesg

  • Sistemde kurulan paket günlüklerinin tutulduğu dosya:

>> /var/log/apt/term.log

Bu dosyaya erişmek için aşaıdaki komut kullanılabilir..:

## strings /var/log/term.log | less

  •  Linux sistemlerde geçmişte kullanılan komutların bilgisinin tutulduğu dosya:

>> /var/log/apt/history.log

  • Linux sistemlerde en son giriş ve çıkış yapmış olan kullanıcıların bilgilerine (Uçbirim adı, tarih vs.) aşağıdaki dosyadan erişebiliriz.

>> /var/log/wtmp

Bu dosyanın içeriğini görüntülemek last komutu kullanılabilir.

## last -f /var/log/wtmp | less

Log Dosyalarını Daha Anlaşılır Olarak Okuyabilmek İçin Bazı İpuçları
  •  Yukarıdaki örneklerde de olduğu gibi bir log dosyasını okumanın ve anlık olarak sistem loglarını takip etmenin kolay yolu tail komutu ve -f parametresini kullanmaktır. Bu komut ve parametre sayesinde dosyayı senkronize olarak görüntüleyebilirsiniz. Yeni bir log kaydı eklendiği zaman hemen son satırda görülecektir.
  •  Ayrıca metin dosyalarının içeriğini görüntülemek için kullandığımız cat komutunun -n parametresiyle birlikte kullanımıylada bir dosyanın satır sıra numalarıyla görüntülenmesini sağlayabiliriz. Log okuma aşamasında sistem yöneticisine kolaylaıklar sağlayabilecek bir parametredir.
  •  Ayrıca log dosyalarının okunması sırasında en çok kullanılan komutlar “head, tail, less” komutlarıdır.
  • Head komutu sayesinde bir dosyanın başlangıcından itibaren belirli satırları okuyabilirsiniz.
  • Tail komutu sayesinde head komutunun tam tersi bir şekilde bir dosyanın sonundan başlayarak istediğiniz sayıda satırını veya belirli bir kısmını okuyabilirsiniz.
  • Less komutu sayesinde bir dosyayı sayfa sayfa okuyabilirisiniz. ENTER’a basarak sayfaları ilerletebilir ve çıkmak içinde q tuşuna basabilirsiniz.
  • Grep komutu sayesinde bir dosya içerisinde belirli bir anahtar kelimeyi yada bulunduğu kısmı arayabilir ve görüntüleyebililirsiniz. Yada -v parametresiyle bir kelime belirtebilir ve belirttiğiniz bu kelimenin haricindeki kısımları görüntüleyebilirsiniz. Aradığınız kelimenin kaç kez geçtiğini görmek için -c parametresini kullanabilirsiniz. Ayrıca küçük/büyük harf duyarsızlığını kullanmak isterseniz -i parametresini kullanabilirsiniz.

 

Umarım faydalı bir içerik olmuştur. Yukarıda bahsedilen dizinleri inceleyerek ve uygulamalar yaparak daha iyi öğrenebilirsiniz.

Okuduğunuz için teşekkür ederim.

İyi günler dilerim..

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir