log file یا فایل گزارش در لینوکس

log file یا فایل گزارش در لینوکس

درود بر کاربران عزیز و همیشگی پلتفرم آموزشی زودیاک ، مرجع آموزش های لینوکس و هک و امنیت

در آموزش امروز قصد داریم به معرفی log file بپردازیم و لاگ فایل ها را در سیستم عامل لینوکس بررسی کنیم.

متخصصان امنیتی در هنگام بروز هر حادثه و حمله ، اول از همه به سراغ log file می روند. اما چرا به سراغ لاگ فایل ها می روند؟

ابتدا ما باید به سوال زیر پاسخ بدهیم.

log file یا فایل گزارش چیست ؟

لاگ فایل ، یک فایل متنی حاوی تمامی رخدادها و اتفاقات است.

مثلا هنگامی که به یک سایت حمله می شود، متخصص امنیتی اول از همه به سراغ لاگ فایل می رود تا دریابد چه IP قصد حمله داشته و در کدام بخش های سایت رفته و ….

لاگ فایل ها در زمینه مانیتورینگ بسیار کاربرد دارند

اما لاگ فایل ها شامل چه اطلاعاتی هستند؟

• نوع سیستم عامل و مرورگر هر شخصی اعم از هکر یا کاربر معمولی که وارد سایت شده است.
• تمامی پاسخ ها و واکنش های سرور به درخواست های کاربران
• IP تمامی کسانی که به سایت ورود کرده اند.
• ساعت و تاریخ ورود کسانی که وارد سایت شده اند
• تمامی صفحاتی که کاربران (یا حتی هکر) از آنها بازدید کرده
• کد ها مخربی که هکر قصد داشته در URL تزریق کند
• و….

همانگونه که متوجه شدید اطلاعات مهمی در لاگ فایل ها وجود دارد

log file در لینوکس

برای دسترسی به تمامی لاگ فایل ها در لینوکس ، باید ترمینال را باز کنید و به مسیر زیر بروید:

Cd var/log

در مسیر ذکر شده ، شما تمامی لاگ فایل های سرویس های مختلف لینوکس را مشاهده می کنید. هر سرویس لاگ های خاص خود را دارد. به عنوان مثال اگر به سایت و سرور شما حمله شده ، باید به سراغ log file وب سرور خود بروید یعنی سرویس Apache .

نکته مهم :

سرویس Apache در خانواده های مختلف لینوکس ، نام های متفاوتی دارد. در centos نام سرویس آپاچی ، httpd است اما در خانواده Debian نام این سرویس apache2  است.

سیستم آزمایشی ما ، کالی لینوکس است. کالی لینوکس هم از خانواده Debian است .پس نام این سرویس  ، apache2 است.

پس باید با دستور زیر وارد پوشه apache 2  شویم :

cd var/log/apache2

اگر هم از سیستم عامل های خانواده centos استفاده می کنید باید به مسیر زیر بروید.

 cd var/log/httpd

بعد از ورود و زدن دستور ls در ترمینال تا محتویات دایرکتوری را نشان دهد ، ما 2 لاگ فایل را مشاهده می کنیم.

• Access log: تمامی اطلاعاتی که بالا عنوان شد مانند IP و ساعت ورود و … در این لاگ فایل است و این لاگ فایل مربوط به کاربران و ثبت وقایع مربوط به کاربران است.
• Error log: این لاگ فایل سیستمی است و خطا های پروسس ها و برنامه ها در این لاگ فایل ثبت می شوند.

حال هر log file را که دوست داشته باشید می توانید با دستور cat باز و مشاهده کنید.

مثلا ما می خواهیم access log را مشاهده کنیم ،پس دستور زیر را باید بزنیم.

Cat access.log

در پایین هم دستور ابتدا تا انتها را بصورت کامل عنوان میکنیم. یعنی وقتی ترمینال باز شد با زدن دستور زیر یک ضرب ، لاگ فایل برای شما باز می شود.

در خانواده Debian :

Cat var/log/apache2/access.log

برای centos

 Cat var/log/httpd/access.log

شما در لینوکس حتی امکان مشاهده لحظه ای لاگ ها را هم دارید. یعنی بصورت زنده ببینید که چه اتفاقاتی در حال رخ دادن است. برای اینکار تنها کافی است که دستور زیر را بزنید و لاگ ها را بصورت زنده ببینید:

Tail access.log -f

امیدوارم از آموزش لاگ فایل ها در لینوکس لذت برده باشید.

شاد و پیروز باشید