Trước khi đi sâu vào loạt bài chi tiết về Graylog – công cụ mạnh mẽ cho việc thu thập và phân tích log – chúng ta cần nắm vững bước cơ bản nhất: định vị và hiểu cấu trúc các tệp log trong hệ thống. Dù bạn sử dụng hệ điều hành Linux hay Windows, việc biết chính xác vị trí lưu trữ log như log SSH, sự kiện bảo mật hay log lỗi hệ thống sẽ giúp bạn cấu hình Graylog hiệu quả, từ đó giám sát và bảo mật hệ thống một cách chủ động.

Graylog và cấu trúc file log
Tìm hiểu về log

Nội dung bài viết

  1. Vị trí các thư mục log trên Linux
  2. Vị trí các thư mục log trên Windows
  3. Cấu trúc và nội dung của file log
  4. Quản lý và bảo trì log
  5. Kết luận

1. Vị trí các thư mục log trên Linux

Ubuntu

Trên Ubuntu, các tệp log quan trọng thường được lưu tại thư mục /var/log/. Tại đây, bạn có thể tìm thấy thông tin chi tiết về trạng thái hệ thống, dịch vụ và các ứng dụng đang chạy.

Các file log phổ biến trên Ubuntu bao gồm:

  • /var/log/auth.log: Ghi nhận các sự kiện xác thực, từ đăng nhập thành công đến thất bại. 
    Feb 13 09:12:22 ubuntu sshd[1234]: Accepted password for user1 from 192.168.1.1 port 22 ssh2
  • /var/log/kern.log: Ghi lại các sự kiện của kernel và thông báo liên quan đến phần cứng. 
    Feb 13 09:10:22 ubuntu kernel: [123456.789012] CPU0: Core temperature above threshold, cpu clock throttled
  • /var/log/syslog: Lưu trữ các sự kiện hệ thống và lỗi dịch vụ. 
    Feb 13 09:10:30 ubuntu systemd[1]: Started Network Time Service
  • /var/log/dmesg: Ghi nhận quá trình khởi động và các thông báo từ kernel. 
    [123456.789012] sd 0:0:0:0: [sda] 12345678 512-byte logical blocks: (6.32 GB/5.88 GiB)
  • /var/log/faillog: Lưu trữ các lần đăng nhập thất bại. 
    2 User1 2024-02-13 09:14:05

CloudLinux

Giống như Ubuntu, CloudLinux cũng sử dụng thư mục /var/log/ để lưu trữ log. Tuy nhiên, hệ điều hành này cung cấp thêm các file log chuyên biệt nhằm tăng cường bảo mật và theo dõi hoạt động người dùng.

Các file log tiêu biểu trên CloudLinux bao gồm:

  • /var/log/secure: Ghi nhận các sự kiện bảo mật và xác thực. 
    Feb 13 09:12:22 cloudlinux sshd[1234]: Accepted password for user1 from 192.168.1.1 port 22 ssh2
  • /var/log/messages: Lưu trữ các sự kiện hệ thống và lỗi dịch vụ. 
    Feb 13 09:10:22 cloudlinux systemd: Starting Network Time Service...
  • /var/log/kernel.log: Ghi nhận các sự kiện từ kernel và thông báo về phần cứng. 
    Feb 13 09:10:22 cloudlinux kernel: [123456.789012] CPU0: Core temperature above threshold, cpu clock throttled
  • /var/log/audit/audit.log: Ghi lại các hoạt động audit liên quan đến thay đổi quyền truy cập và hành động quan trọng. 
    type=USER_AUTH msg=audit(1676293622.327:202): pid=1234 uid=1000 auid=1000 ses=1 msg='PAM: password change user=user1'
  • /var/log/cmd: Lưu trữ lệnh và hành động của người dùng. 
    Feb 13 09:10:10 cloudlinux root: user1 executed command: ls /home

2. Vị trí các thư mục log trên Windows

Trên hệ điều hành Windows, các file log thường được lưu tại thư mục C:\Windows\System32\winevt\Logs\. Tại đây, bạn có thể tìm thấy thông tin về sự kiện hệ thống và ứng dụng, giúp theo dõi và phân tích các sự cố phát sinh.

Một số file log tiêu biểu trên Windows bao gồm:

  • Application.evtx: Ghi lại sự kiện từ các ứng dụng, bao gồm lỗi, cảnh báo và thông báo.
  • Security.evtx: Lưu trữ các sự kiện bảo mật như đăng nhập, thay đổi quyền truy cập và hoạt động quan trọng.
  • System.evtx: Ghi nhận các sự kiện hệ thống, lỗi phần cứng, sự cố driver hoặc vấn đề với dịch vụ.
  • Setup.evtx: Chứa thông tin về quá trình cài đặt hệ điều hành và phần mềm, hỗ trợ theo dõi quá trình cấu hình.

3. Cấu trúc và nội dung của file log

Các file log thường có cấu trúc gồm dòng thời gian và thông tin chi tiết của sự kiện. Một số file chỉ đơn giản là văn bản, trong khi một số khác có thể ở dạng nhị phân hoặc dữ liệu có cấu trúc rõ ràng.

Cấu trúc cơ bản của file log bao gồm:

  • Timestamp: Thời gian ghi nhận sự kiện.
  • Log level: Mức độ quan trọng của sự kiện (ví dụ: ERROR, INFO, WARNING).
  • Event details: Thông tin chi tiết về sự kiện.

4. Quản lý và bảo trì log

Để đảm bảo hiệu quả giám sát và bảo mật hệ thống, bạn cần chú ý đến việc quản lý log qua các bước sau:

  • Xoá log cũ: Loại bỏ các file log không cần thiết để giải phóng dung lượng lưu trữ.
  • Cấu hình quay vòng log: Sử dụng công cụ như logrotate trên Linux hoặc tính năng tự động quay vòng log trên Windows.
  • Phân tích log: Áp dụng các công cụ như Graylog để theo dõi và phân tích các sự kiện quan trọng.

5. Kết luận

Quản lý và phân tích log đóng vai trò then chốt trong việc bảo mật và giám sát hệ thống. Nhờ có các công cụ như Graylog, bạn có thể nhanh chóng thu thập, xử lý và phát hiện các sự cố tiềm ẩn. Việc hiểu rõ vị trí và cấu trúc file log trên cả Linux và Windows sẽ giúp bạn duy trì hệ thống một cách ổn định và an toàn.

Trong phần tiếp theo, chúng ta sẽ cùng khám phá log của Cpanel, DirectAdminPlesk. Để xem chi tiết, vui lòng click vào đây.