МИНИСТЕРСТВО ЦИФРОВОГО РАЗВИТИЯ, СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ

ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ОБРАЗОВАНИЯ «САНКТ-ПЕТЕРБУРГСКИЙ ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ТЕЛЕКОММУНИКАЦИЙ ИМ. ПРОФ. М.А. БОНЧ-БРУЕВИЧА»

Кафедра защищенных систем связи

ОТЧЁТ

по лабораторной работе № 7.3.2.5 на тему: Lab - Reading Server Logs

по дисциплине «Безопасность компьютерных систем»

Выполнили: студенты группы ИКТК-96

Беляев Д.М.

Пухов Д. А. Орлов М.А.

Принял: доцент

Кушнир Д.В.

Лабораторная работа. Чтение журналов сервера

Задачи

Часть 1. Чтение файлов журналов с использованием программ Cat, More и Less

Часть 2. Файлы журналов и Syslog

Часть 3. Файлы журналов и Journalctl

1. Общие сведения и сценарий

Файлы журналов являются важным средством для поиска и устранения неполадок и проведения мониторинга. Разные приложения создают различные файлы журналов, каждый из которых содержит собственный набор полей и информации. Структура полей может различаться между файлами журналов, но средства, используемые для их чтения, в основном одинаковы. В этой лабораторной работе вы узнаете о наиболее распространенных средствах чтения файлов журналов и научитесь использовать их.

2. Необходимые ресурсы

• Виртуальная машина рабочей станции CyberOps

• Доступ к Интернету

1. Чтение файлов журналов с использованием программ Cat, More и Less

Файлы журналов представляют собой файлы, используемые для записи определенных событий, вызванных приложениями, службами или самой операционной системой. Обычно файлы журналов хранятся в виде обычного текста и незаменимы для поиска и устранения неполадок.

1. Открытие файлов журналов.

Файлы журналов обычно содержат информацию, представленную в виде обычного текста, который можно просмотреть практически в любой программе, пригодной для обработки текста (например, текстовых редакторах). Однако некоторые средства используются чаще других благодаря их удобству и быстродействию. В этом разделе рассматриваются четыре программы, запускаемые из командной строки: cat, more, less и tail.

CAT, производное от слова concatenate (сцепить), — инструмент, запускаемый из командной строки UNIX. Используется для чтения и вывода содержимого файла на экран. Благодаря простоте и возможности открыть текстовый файл, отображая его содержимое на терминале, работающем только в текстовом режиме, cat широко используется по сей день.

1. Запустите ВМ рабочей станции CyberOps и откройте окно терминала.

2. Из окна терминала выполните приведенную ниже команду для отображения содержимого файла logstash-tutorial.log, который находится в папке /home/analyst/lab.support.files/.

analyst@secOps ~$ cat /home/analyst/lab.support.files/logstash-tutorial.log

Содержимое файла должно прокручиваться в окне терминала, пока не будет показано все содержимое.

В чем состоит недостаток использования cat с текстовыми файлами большого размера?

Нет разбиения страниц

Другим, широко распространенным средством отображения файлов журналов является more. Как и cat, more — средство, запускаемое из командной строки UNIX, с помощью которого можно открыть текстовый файл и вывести его содержимое на экран. Главное различие между cat и more заключается в том, что more обеспечивает разбиение страниц и пользователь может просматривать содержимое файла постранично. Для вывода следующей страницы нужно нажать клавишу пробела.

3. Из того же окна терминала воспользуйтесь приведенной ниже командой для отображения содержимого файла logstash-tutorial.log повторно. На этот раз с использованием more:

analyst@secOps ~$ more /home/analyst/lab.support.files/logstash-tutorial.log

Содержимое файла должно прокручиваться в окне терминала, пока не будет показана одна страница. Нажмите клавишу пробела, чтобы перейти к следующей странице. Нажмите клавишу Enter (Ввод), чтобы показать следующую строку текста.

Что является недостатком использования more?

Основываясь на функциональных возможностях cat и more, инструмент less позволяет показывать содержимое файла страницу за страницей, одновременно позволяя пользователю просматривать ранее отображавшиеся страницы.

4. Из того же окна терминала воспользуйтесь средством less для показа содержимого файла logstash-tutorial.log повторно.

analyst@secOps ~$ less /home/analyst/lab.support.files/logstash-tutorial.log

Содержимое файла должно прокручиваться в окне терминала, пока не будет показана одна страница. Нажмите клавишу пробела, чтобы перейти к следующей странице. Нажмите клавишу Enter (Ввод), чтобы показать следующую строку текста. Используйте клавиши со стрелками вверх и вниз для перемещения вперед и назад по текстовому файлу.

Нажмите клавишу q на клавиатуре для выхода из средства less.

5. Команда tail отображает конец текстового файла. По умолчанию tail отображает последние десять строк файла.

Служит для показа последних 10 строк файла /home/analyst/lab.support.files/logstash-tutorial.log.

analyst@secOps ~$ tail /home/analyst/lab.support.files/logstash-tutorial.log

218.30.103.62 - - [04/Jan/2015:05:28:43 +0000] "GET /blog/geekery/xvfb-firefox.html HTTP/1.1" 200 10975 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"

218.30.103.62 - - [04/Jan/2015:05:29:06 +0000] "GET /blog/geekery/puppet-facts-into-mcollective.html HTTP/1.1" 200 9872 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"

198.46.149.143 - - [04/Jan/2015:05:29:13 +0000] "GET /blog/geekery/disabling-battery-in-ubuntu-vms.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+semicomplete%2Fmain+%28semicomplete.com+-+Jordan+Sissel%29 HTTP/1.1" 200 9316 "-" "Tiny Tiny RSS/1.11 (http://tt-rss.org/)"

198.46.149.143 - - [04/Jan/2015:05:29:13 +0000] "GET /blog/geekery/solving-good-or-bad-problems.html?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+semicomplete%2Fmain+%28semicomplete.com+-+Jordan+Sissel%29 HTTP/1.1" 200 10756 "-" "Tiny Tiny RSS/1.11 (http://tt-rss.org/)"

218.30.103.62 - - [04/Jan/2015:05:29:26 +0000] "GET /blog/geekery/jquery-interface-puffer.html%20target= HTTP/1.1" 200 202 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"

218.30.103.62 - - [04/Jan/2015:05:29:48 +0000] "GET /blog/geekery/ec2-reserved-vs-ondemand.html HTTP/1.1" 200 11834 "-" "Sogou web spider/4.0(+http://www.sogou.com/docs/help/webmasters.htm#07)"

66.249.73.135 - - [04/Jan/2015:05:30:06 +0000] "GET /blog/web/firefox-scrolling-fix.html HTTP/1.1" 200 8956 "-" "Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A5376e Safari/8536.25 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

86.1.76.62 - - [04/Jan/2015:05:30:37 +0000] "GET /projects/xdotool/ HTTP/1.1" 200 12292 "http://www.haskell.org/haskellwiki/Xmonad/Frequently_asked_questions" "Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20140205 Firefox/24.0 Iceweasel/24.3.0"

86.1.76.62 - - [04/Jan/2015:05:30:37 +0000] "GET /reset.css HTTP/1.1" 200 1015 "http://www.semicomplete.com/projects/xdotool/" "Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20140205 Firefox/24.0 Iceweasel/24.3.0"

86.1.76.62 - - [04/Jan/2015:05:30:37 +0000] "GET /style2.css HTTP/1.1" 200 4877 "http://www.semicomplete.com/projects/xdotool/" "Mozilla/5.0 (X11; Linux x86_64; rv:24.0) Gecko/20140205 Firefox/24.0 Iceweasel/24.3.0"