0X00前言



昨天看群里有人问,应急的时候怎么对日志进行分析,



然后我推荐360星图,然后有了此文,本篇介绍日志分析常用工具和命令



 




服务器java日志在哪 服务器日志类型_服务器java日志在哪


 


0X01日志在哪里


首先我想到的是


容器(iis/Apache/nginx)日志,(mysql/mssql)数据库日志,还有系统日志,那么系统日志可以看下下面两篇。


http://jingyan.baidu.com/article/4b52d702ad08a8fc5c774b14.html 事件日志--事件查看器,window日志


http://jingyan.baidu.com/article/22fe7ced3ef40d3002617faf.html


MYSQL启用日志,和查看日志


这里以一台window2003服务器为例子,日志文件在


目录C:\Windows\System32\LogFiles\下


如果你要通过iis管理器看




服务器java日志在哪 服务器日志类型_数据库_02




服务器java日志在哪 服务器日志类型_运维_03




取到日志,我们开始用360星图进行分析了


http://wangzhan.360.com/web/statics/xingtu_full.zip


使用方法


服务器java日志在哪 服务器日志类型_服务器java日志在哪_04



服务器java日志在哪 服务器日志类型_运维_05


设置好日志路径


 


服务器java日志在哪 服务器日志类型_运维_06


 


点击Start.bat之后


 


服务器java日志在哪 服务器日志类型_awk_07



服务器java日志在哪 服务器日志类型_服务器java日志在哪_08


 


服务器java日志在哪 服务器日志类型_数据库_09


 


整个过程很简单


当然还有爱站工具包


 


服务器java日志在哪 服务器日志类型_awk_10


 


0X02其他


有人说不想用上面那个,因为一下子就学会了,那个操作,不需要太多技术含量,因为应急的时候日志分析确实不想一下子给别人知道你用的什么,那就来点命令行的


Linux命令行下的几个操作


1、查找日志文件


#locate access_log


通常是这么用的,查找后缀为jsp的文件。


#locate *.jsp


2、查看日志中访问次数最多的前10个IP


#cat /var/log/httpd/access_log |cut -d ' ' -f 1 |sort |uniq -c | sort -nr | awk '{print $0 }' | head -n 10


3、查看最近访问量最高的文件


#cat /var/log/httpd/access_log |tail -10000|awk '{print $7}'|sort|uniq -c|sort -nr|less


4、查看传输时间超过 30 秒的文件


# cat /var/log/httpd/access_log |awk '($NF > 30){print $7}'|sort -n|uniq -c|sort -nr|head -20


 


还是觉得不够人性化,找了一下,我们找到了splunk,


使用


https://www.splunk.com/bin/splunk/DownloadActivityServlet?architecture=x86_64&platform=windows&version=7.0.0&product=splunk&filename=splunk-7.0.0-c8a78efdd40f-x64-release.msi&wget=true



服务器java日志在哪 服务器日志类型_awk_11


 


右边点free splunk,然后注册,会给你两个地址,


上面我贴了一个win10的下载地址,然后安装,直到登陆界面


 


服务器java日志在哪 服务器日志类型_运维_12


 


Admin, changeme,登进去第一件是就是改密码 然后再登陆,它有一个演示教程


 


服务器java日志在哪 服务器日志类型_awk_13



服务器java日志在哪 服务器日志类型_awk_14


 


服务器java日志在哪 服务器日志类型_数据库_15