اگر به فکر این هستید که با استفاده از گزارشات پشت صحنه سرور خود، اطلاعات لازم را در مورد فعالیت کاربران سرور کسب کنید و همچنین عیب یابی را هم با دقت و سرعت بالاتری انجام دهید، بررسی لاگ فایل های اصلی سرور لینوکس و ویندوز می تواند در این مسیر به شما کمک کند.
با اینکه برنامه ها و بخش های بررسی لاگ فایل ها در سرور ویندوز و لینوکس متفاوت است ولی مطمئن باشید هر کدام از آنها یک سطح از اطلاعات را در اختیار شما قرار می دهند:
لاگ فایل چیست؟
لاگ فایل سرور یک گزارش متنی ساده است که در یک بازه زمانی مشخص، تمام فعالیت های مربوط به سرور را ذخیره می کند. این فایل به طور خودکار توسط خود سرور ایجاد و نگهداری می شود و بررسی اطلاعات موجود در این فایل می تواند به ادمین کمک کند که درک دقیق تری در مورد نحوه دسترسی کاربران به وبسایت یا اپلیکیشن داشته باشد. خطاها، تراکنش ها و نفوذها از جمله رویدادهایی هستند که در لاگ فایل ها ذخیره می شوند.
البته این بستگی به نوع رویداد هم دارد که در صورت نیاز داده های دیگر را هم پوشش دهد. به عنوان مثال، گزارشات سرور ها شامل صفحه وب ارجاع شده، کد وضعیت HTTP، بایت های ارائه شده، عملکرد کاربر و … هم است.
تقریباً هر چیزی که در سرور وبسایت یا اپلیکیشن دخیل است مثل پایگاه داده، اپلیکیشن ها، کانتینرها، فایروال ها، سرویس ها و … می تواند لاگ ایجاد کند.
وقتی گزارشات مربوط به عملکرد سرور تنوع زیادی دارند پس می توان به راحتی گفت که لاگ فایل های سرور یک نگاه خام و بدون فیلتر به ترافیک سایت هستند. هر بار که یک کاربر مثلاً از طریق گوگل به صفحه ای وبسایت شما مراجعه می کند، یک خط جدید
به لاگ فایل اضافه شود و این باعث می شود که بررسی لاگ فایل ها برای ادمین ها بسیار مفید باشد. چراکه خطایابی، کشف نقطه ضعف ها و خطرات امنیتی با استفاده از این گزاراشات می تواند جلوی بسیاری از مشکلات مخصوصاً مسائل مربوط به سئو را بگیرد.
بررسی لاگ فایل های سرور ویندوز
Event Viewer همان ابزاری است که قرار است در بررسی لاگ فایل های سرور ویندوز به شما کمک کند. گزارشات این ابزار برای بررسی عملکرد برنامه ها، وضعیت بروزرسانی ها، عیب یابی ویندوز و برنامه ها بسیار مفید هستند. همچنین، اگر از خرید سرور مجازی ویندوز بسیار راضی هستید منتها درگیر گزارشات سیستم ورود و مدیریت حساب کاربری هستید، باز هم Event Viewer در کنار شماست. چرا که رویدادهایی که در سرور مجازی شما اتفاق می افتد، هم از جنبه کاربری و هم از جنبه فرآیندی بررسی می شوند و این اطلاعات در عیب یابی سرویس ها و سایر مسائل امنیتی بسیار مفید هستند.
رویدادهای Event Viewer به ۵ نوع اصلی تقسیم می شوند:
Error – زمانی که سیستم نتواند به صورت عادی کار کند، یک مشکل مهم ایجاد می شود و این مشکل با تگ Error نشان داده می شود؛ مثلاً مشکل عدم پاسخگویی سیستم عامل.
Warning – رویدادهای غیرمهمی گه به مشکلات احتمالی آینده اشاره می کنند، مثلاً فضای دیسک کم.
Information – این نوع رویداد زمانی ثبت می شود که یک اپلیکیشن یا سرور به خوبی کار می کند یعنی نوعی خبر در مورد یک فرآیند خاص؛ مثلا بارگیری درست درایور شبکه.
Success Audit – هر گونه رویداد یا گزارش مربوط به تلاش برای دسترسی مجاز با این عنوان ثبت می شود؛ مثلاً تلاش موفقیت آمیز برای ورود به سیستم.
Failure Audit – این رویدادها، خطاها یا شکست های مربوط به دسترسی را نشان می دهند؛ مثلاً عدم امکان دسترسی به درایور شبکه.
نحوه استفاده از Event Viewer در ویندوز سرور
Server Manager را باز کنید و از تب tools، برنامه Event Viewer را اجرا کنید.
( یا از بخش Start، Event Viewer را سرچ کرده و آن را اجرا کنید).
کل لاگ فایل های ویندوز سرور به ۴ دسته Custom View، Windows logs، Applications and services logs و Subscriptions تقسیم شده اند.
برای کسب اطلاعات بیشتر در مورد رویداد موردنظر می توانید روی آن کلیک کنید و قسمت پایین را نگاه کنید.
Custom Views
این بخش برای نمایش هشدارهای موردعلاقه شما لحاظ شده است. به عنوان مثال، اگر می خواهید ببینید که بخش خاصی از سیستم خراب است یا نه می توانید یک Custom View مرتبط با این مسئله ایجاد کنید تا هر نوع هشدار مربوط به خرابی سیستم در این بخش قرار بگیرد. با توجه به این که هشدارهای مربوط به سرور هم اکثراً زیاد است و بررسی تمام آنها می تواند زمان بر باشد، استفاده از Custom Views بسیار کارساز است.
البته گزینه Administrator Events به طور پیش فرض در بخش Custom Views قرار دارد. گزارشات مختلف مدیریتی مثل اپلیکیشن، امنیت، سیستم و سخت افزار در این بخش قرار می گیرد.
Windows Logs
این بخش اصلی ترین بخش Event Viewer است که رویدادهای مهم را در ۴ دسته اصلی نشان می دهد:
Application– این گزارشات مربوط به درایورها و اپلیکیشن هایی است که در ویندوز سرور میزبانی می شود. مثلا، خطای راه اندازی پاورپوینت در لاگ اپلیکیشن ها قرار می گیرد.
Security – گزارشات امنیتی حاوی رویدادهای مرتبط با ایمنی سیستم هستند. این رویدادها از طریق پروسه ردیابی و تحلیل رویدادهای ویندوز ثبت می شود. گزارشات ورود و خروج کاربران از مهم ترین آنها هستند چون با مانیتور به موقع آنها می توان جلوی هر نوع حمله و هک را گرفت.
Setup – این رویدادها مربوط به پروسه نصب و راه اندازی سیستم عامل ویندوز هستند. اگر سرور از نوع کنترلر دامنه باشد، گزارشات مربوط به Active Directory هم در این بخش ذخیره می شوند.
System – این بخش شامل گزارشات مربوط به سیستم و اجزای آن می شود. خطا در بارگیری درایور بوت یکی از مهم ترین رویدادهای سطح سیستمی است.
Forwarded Events – این بخش حاوی رویدادهایی ارسال شده از طرف سیستم های دیگر موجود در همان شبکه است.
Applications and Services
تمام رویدادهای مربوط به اپلیکیشن هایی که در ویندوز دسکتاپ یا سرور استفاده می کنید در این بخش قرار می گیرد. به عنوان مثال، اگر در اجرای word مشکلی به وجود آمده است، لاگ مربوط به آن در این بخش قرار دارد.
حالا شاید فکر کنید که فرق لاگ Application قبلی با این چیست؟
اپلیکیشن لاگ قبلی که در بخش Windows Log قرار داشت، فقط رویدادهای برنامه های در حال اجرا نشان می دهد. در حالی که بخش Applications and Services رویدادها را با یک حالت مرتب و دسته بندی شده ذخیره می کند. مثلاً اگر فولدر ویندوز موجود در بخش Microsoft را باز کنید، تمام رویدادهایی مرتبط با هم در یک پوشه قرار گرفته اند که می توانید آن را باز کرده و به تمام رویدادهای آن دسترسی داشته باشید.
مثلاً لاگ های مربوط به ریموت دسکتاپ در بخش زیر قرار دارد:
در کل، اگر موقع باز کردن Event Viewer با حجم زیادی از خطاها روبرو شدید، نیازی به نگرانی نیست چون وقتی سیستم شما به خوبی کار می کند هم ممکن است این خطاها باشند.
اگر خطایی واقعا باعث مشکل سرور شده است و با استفاده از لاگ فایل های Event Viewer آن خطا را شناسایی کرده اید، با جستجوی عنوان یا شناسه رویداد می توانید راه حل آن را پیدا کنید.
بررسی لاگ فایل های سرور لینوکس
درست مثل ویندوز سرور، سرور لینوکس هم بخش خاصی را برای ذخیره رویدادهای مربوط به سیسم عامل، برنامه ها و سرویس ها اختصاص داده است که این لاگ فایل ها برای تجزیه و تحلیل مشکلات توسط ادمین ها بسیار مفید هستند. مخصوصاً اگر قصد دارید با خرید سرور مجازی لینوکس، وبسایت یا اپلیکیشن خود راه اندازی کنید، بعدها نیاز به گزارشات مربوط به ورود و خروج کاربران، درخواست های دسترسی و … خواهید داشت که بررسی لاگ فایل های سرور لینوکس می تواند کار را برای شما راحت تر کند.
لاگ فایل های لینوکس با یک متن ساده ذخیره می شوند و می توان همه آنها را در مسیر var/log پیدا کرد. پس با یک دستور ساده cd هم می توانید به لاگ فایل ها دسترسی داشته باشید منتها برای این کار باید کاربر روت باشید.
معمولاً لاگ فایل های تولید شده در محیط لینوکس به ۴ دسته مختلف تقسیم می شوند:
- Application Logs
- Event Logs
- Service Logs
- System Logs
مهم ترین لاگ فایل های لینوکس که باید مانیتور شوند!
//var/log/syslog یا var/log/messages/
این لاگ فایل ها حاوی پیام ها یا اطلاعات مربوط به سیستم هستند که کل فعالیت های عمومی را پوشش می دهد. خطاهای بوت غیرهسته، خطاهای سرویس های مربوط به برنامه ها و پیام های پروسه بوت یا راه اندازی سیستم در این مسیر قرار دارند.
سیستم های مبتنی بر دبیان– syslog
سیستم های مبتنی بر رد هت– messages
var/log/auth.log/ یا var/log/secure/
لاگ فایل های احراز هویت در این مسیر ذخیره می شوند. ورود موفق، ورود ناموفق و روش های احراز هویت از محتویات اصلی این گزارشات هستند. پس هر گونه نقض امنیتی، حملات brute-force، فایل های مشکوک و در کل هر نوع خطای مربوط به مکانیسم مجوز کاربر در این بخش قرار دارد.
سیستم های مبتنی بر دبیان– auth.log
سیستم های مبتنی بر رد هت – secure
var/log/yum.log/ یا var/log/dnf.log/
لاگ فایل های مربوط به پروسه نصب، آپدیت یا حذف بسته ها توسط مدیر بسته yum یا dnf در این فایل ذخیره می شود. پس بررسی این لاگ فایل ها برای پیگیری وضعیت نصب بسته های نرم افزاری و مشکلات نصب بسیار مفید است. به عنوان مثال، فرض کنید سرور شما دچرا اختلال شده است و شما به آخرین نرم افزاری که نصب کرده اید، شک دارید. در این موقع است که می توانید این لاگ فایل را بررسی کنید تا نرم افزار مخرب را شناسایی کنید.
var/log/mysqld.log/ یا var/log/mysql.log/
این لاگ فایل حاوی تمام پیام های مربوط به پروسه اشکال زدایی، موفقیت یا خطای سرویس MySQL است. پس بررسی این گزارشات برای شناسایی مشکلات راه اندازی ، اجرا یا توقف mysqld، دریافت اطلاعات بیشتر در مورد اتصالات کلاینت ها به دایرکتوری داده MySQL و تنظیم پارامتر long_query_time بسیار مفید است.
var/log/maillog/ یا var/log/mail.log/
همانطور که از اسم آن مشخص است، تمام گزارش های مربوط به سرور ایمیل در این مسیر ذخیره می شوند. پس اگر به اطلاعاتی در مورد postfix، smtpd یا سرویس های مربوط به ایمیل نیاز دارید، اطلاعات این لاگ فایل برای شما بسیار مفید است.
ردیابی تمام ایمیل های ارسالی و دریافتی در یک دوره خاص، بررسی مشکلات تحویل ایمیل، کشف تلاش های احتمالی اسپم ها و … از مهم ترین کارهایی است که می توانید با استفاده از این لاگ فایل انجام دهید.
var/log/boot.log/
این فایل مخزن تمام اطلاعات مربوط به پروسه بوت و راه اندازی سرور است. پس خطاهای مربوط به روشن/خاموش شدن سیستم، بوت و ری استارت ناموفق در این بخش قرار دارند.
var/log/dmesg/
لاگ فایل های مربوط به دستگاه های سخت افزاری و درایورهای سیستم یا سرور لینوکس در این بخش قرار می گیرند. پس با استفاده از آن می توان اطلاعات مربوط به وضعیت دستگاه، خطاهای سخت افزاری و پیام های عمومی مرتبط را ردیابی کرد. این فایل لاگ بیشتر برای سرورهای اختصاصی مفید است.
var/log/kern/
همانطور که از اسم آن مشخص است، اطلاعات و گزارشات مربوط به کرنل سیستم در این مسیر قرار می گیرد. این لاگ فایل های توسط هسته ثبت می شوند پس خیلی مهم هستند. در کل، این لاگ فایل ها برای رفع مشکلات سخت افزاری، اتصالات و عیب یابی هشدارهای مربوط به هسته بسیار ایده آل هستند.
var/log/faillog/
تمام گزارشات مربوط به تلاش های ناموفق ورود به سیستم در این مسیر قرار می گیرند. پس با استفاده از آنها می توان نقض های امنیتی مثل هک نام کاربری/رمز عبور و حملات مثل بروت فورس را شناسایی کرد.
var/log/cron/
تمام پیام های مربوط به Crond (cron jobs) در این بخش ذخیره می شوند. هر موقع که یک کران جا اجرا شد، گزارشات اجرای موفقیت آمیز یا خطای اجرا تحت قالب لاگ فایل جدید در این مسیر قرار می گیرد.
var/log/httpd/
این فایل شامل تمام لاگ های ثبت شده توسط سرور آپاچی است. اطلاعات ورود به سرور آپاچی در دو فایل جداگانه error_log و access_log ذخیره می شوند.
error_log مخزن تمام پیام های مربوط به خطاهای httpd است که مشکلات حافظه و مشکلات مربوط به پروسه پردازش درخواست های httpd از اصلی ترین آنها هستند.
access_log هم تمام درخواست ها دسترسی دریافت شده از طریق HTTP را ذخیره می کند و به شما کمک می کند هر صفحه باز شده و هر فایل بارگذاری شده توسط آپاچی را مانیتور کنید.
آدرس IP، آی دی کلاینت ها، اطلاعات مربوط به وضعیت درخواست ها و نتیجه آنها از مهم ترین محتویات این لاگ فایل هستند.
نحوه دسترسی به لاگ فایل های لینوکس
برای مشاهده رویدادهای سرور لینوکس، ۲ راه پیش رو دارید. اولی اینکه از دستورات اصلی لینوکس استفاده کنید و دومی اینکه برنامه لاگ فایل سیستم لینوکس را اجرا کنید.
-
مشاهده رویدادهای سرور لینوکس با دستورات
ترمینال را باز کنید و به مسیر زیر بروید: ( البته برای اجرای این دستورات حتماً باید کاربر روت باشید)
cd /var/log
با دستور زیر، لیست تمام لاگ فایل ها را باز کنید:
ls
برای باز کردن یک لاگ فایل خاص می توانید از یکی از دستورات زیر استفاده کنید:
مثلا faillog:
less /var/log/faillog
more -f /var/log/faillog
cat /var/log/faillog
tail -f /var/log/faillog
grep -i error /var/log/faillog
خروجی هر کدام از این دستورات، گزارشات مربوط به تلاش های ورود ناموفق را تحت یک قالب ساده به شما ارائه می دهد که با استفاده از آن می توانید تاریخ و نوع اقدام کاربر را با جزئیات دقیق مشاهده کنید.
-
مشاهده رویدادهای سرور لینوکس با GUI
System Log Viewer در لینوکس همان Event Viewer در ویندوز است که برای مشاهده و نظارت رویدادهای سرور یا سیستم استفاده می شود.
برای باز کردن این ابزار کافیست که روی منوی سیستم کلیک کنید و از بخش Choose Administration ،System Log را انتخاب کنید.
این برنامه تمام رویدادها را به صورت دسته بندی شده ارائه می دهد که متناسب با نیاز خود می توانید به بخش موردنظر مراجعه کنید و از اطلاعات آنها استفاده کنید.
جمع بندی
بررسی لاگ فایل های سرور لینوکس و ویندوز باعث می شود که خطاها را خیلی سریع تر شناسایی کنید و در صورت نیاز وارد عمل شوید. ادمین های سرور ویندوز برای این کار از ابزار معروف Event Viewer استفاده می کنند و ادمین های لینوکس هم می توانند از دستورات یا رابط گرافیکی System Log Viewer استفاده کنند که البته، اکثر لینوکسی ها استفاده از دستورات راحت تر و مفید تر می دانند.
از اینکه تا انتهای مقاله با ما همراه بودید، از شما متشکریم. امیدواریم که مطالعه این مقاله برای شما مفید واقع شده باشد. در صورت داشتن هرگونه سوال، درخواست و نیاز به راهنمایی، می توانید با ثبت نظر خود، با ما وارد ارتباط شوید تا هر چه زودتر به شما پاسخ دهیم.
