日志错误怎么解决_一文了解应急响应中常用的日志收集方法

目录

2.数据库日志 3.操作系统日志

当发生网页篡改、服务器植入挖矿木马等安全攻击时，日志可以辅助还原安全事件，尽快找到事件发生的时间和原因，所以日志收集还是很重要的。本文总结了一些针对中间件、数据库、操作系统的常见日志收集方法。

1. 中间件日志 1.1

安装完成后默认开启日志功能，默认配置下会有log、log三种日志，.x版本和9.0及以后版本的目录结构有所不同。

版本 9 及更高版本：

登录 $\\\\\\logs\.log

登录 $\\\\\\logs\.log

登录 $\\\\\\logs\.log

8.x 版本：

日志路径如下：$\\\\\.log

日志路径如下：$\\\\\.log

日志路径如下：$\\\\.log

在：

$ 是安装目录

是域的实际名称，在创建域时指定

实际名称，创建时指定

这是管理员的实际名称，在创建管理员时指定。

。日志

主要记录HTTP请求，默认开启日志记录功能，服务器将HTTP请求保存在单独的日志文件中，日志格式如下，主要记录HTTP请求的请求IP地址、请求时间、访问页面、响应状态等信息：

日志

日志

主要用于服务器的一般日志记录，如启动、关闭、部署应用程序等。日志格式为：时间戳、严重性、子系统、计算机名称、服务器名称、线程ID。消息体中的以下一行仅表示记录了一个异常，并显示异常的堆栈跟踪，如下所示：log

日志

它主要记录一个程序的运行状态，程序中的每个程序都可以把自己的一些信息（比如严重的错误）发送给该程序，并把这些信息传递给.log文件。

1.2

默认日志路径在安装目录下的logs文件夹：

如果安装时默认改变了日志存放位置，可以在conf/.conf中查看。

日志一般分为.out、.txt、.x64四种格式。

。出去

运行日志主要记录运行过程中产生的一些信息，特别是一些异常的错误日志信息，内容如下：

.YMD.日志

这些是你自己操作的一些日志，也会输出到.out中。

但是应用程序输出的日志不会输出到 .{yyyy-MM-dd}.log

.YMD.日志

当程序异常未被捕获时，

内部代码抛出的日志（jsp页面、org.....类等内部错误抛出的异常，日志信息都在这个文件中！）

应用程序初始化过程中未处理的异常（、、）最终都会被捕获并以日志的形式输出，这些未处理的异常最终会导致应用程序无法启动。

.YMD.日志

管理日志

主要记录访问日志信息，包括访问时间，IP地址等，也是应急情况下经常使用的日志信息。

您可以通过查看 .xml 文件中的以下内容来检查访问日志记录是否启用。

1.

日志一般分为两种： 和 。可以通过查看httpd.conf文件来查看日志路径：

grep -i”” /etc/httpd/conf/httpd.conf

grep -i”” /etc/httpd/conf/httpd.conf

访问日志，记录对服务器的所有请求

错误日志，记录处理请求时出现的任何错误，一般服务器出现什么错误，都可以查看日志

1.

Nginx日志主要分为.log和error.log两种，可以通过查看nginx.conf文件找到相关日志路径，如下图所示

。日志

主要记录访问日志，包括访问客户端IP地址，访问时间，访问页面等。

error.log，主要记录一些错误信息。

1.5 系统

查看日志文件位置：

打开文件夹中其中一个名称为.log的文件，日志内容如下，包括访问域名时间，IP，访问URL等信息。

2.数据库日志

本文主要介绍mysql的一些日志信息，，，。

2.1 mysql：

：查看当前数据库状态

MySQL日志主要分为以下几类：

：记录MySQL运行过程中的Error、Note等信息，如果出现系统错误或者记录有问题，可以查看Error日志；

Log：记录MySQL每天的日志，包括查询、修改、更新等每条SQL语句。

日志：二进制日志，里面包含一些描述数据库变化的事件，比如表的创建、数据的变化等，主要用于备份、恢复、回滚操作。

慢*：MySQL 慢查询的日志；

像'log_%'；

可以看出MySQL默认只开启了错误日志，错误日志内容如下：

这里重点分析Log，这也是紧急情况下经常会检查的，其他日志类型可以查看大牛整理的详细笔记，链接如下：

通过打开日志记录，所有查询和执行的 SQL 语句都将被记录：

='开启'；

喜欢 '％';

：是否开启日志功能，默认OFF

：日志文件保存位置

进入相应路径查看日志内容如下，会记录当前对数据库进行的所有操作

2.2：

SQL日志记录SQL数据库操作的完整状态信息，以消息的形式记录系统级和应用程序级的操作。

您可以使用 SQL 中的日志文件查看器访问有关以下日志中捕获的错误和事件的信息：

SQL 连接到数据库并查看与一般 SQL 活动相关的日志。

在对象资源管理器中，展开管理。

执行以下任一操作：

1. 右键单击​​“SQL 日志”，指向“查看”，然后单击“SQL 日志”或“And 日志”。

2. 展开“SQL Log”，右键点击任意一个日志文件，点击“查看SQL Log”，也可以双击任意一个日志文件，日志格式如下：

查询上次启动时间：

.;

历史SQL记录查询：没有这个实现，只有sys.了一部分（SQL服务启动后执行的语句，还有一些没有被缓存在执行计划中的语句，就不会被记录下来）。

该视图主要提供执行计划的统计信息，包括消耗成本，运行次数等，但是不包含每次执行的用户，执行时间等信息：

启动SQL审计功能，会记录所有的操作记录，可以通过查看日志的存放路径

开启日志审计功能请参考：

2.3：

日志文件有两种类型：重做日志文件和归档日志文件。重做日志文件主要记录数据库的操作过程，在恢复数据库时，可以对恢复后的数据库执行重做日志文件，以达到数据库的最新状态。

默认情况下数据库只记录数据库登录信息，不统计数据库查询记录，可以使用show audit查看审计功能是否开启，如果值为DB.

None：这是默认值，不进行审计；

DB：审计线索记录在数据库审计相关表中，如aud$，审计结果只包含连接信息。

对于日志路径，可以查看adump下的相关文件，内容如下：

DB,：这样审计结果不仅仅包含连接信息，还包含当时执行的具体语句；

OS：将审计跟踪记录在操作系统文件中。文件名由参数指定。

启用审计功能：

改变集合==；

改变设置=db,=;

重启实例

开启之后审计内容会记录在sys库的AUD$表中。

修改日志文件以记录在操作系统中：alter set ='OS' scope=;

这是日志保存的具体路径。

详细日志配置请参考：

3. 操作系统日志 3.1 日志

查看日志的方法：开始->运行->回车

类型 事件类型 描述 文件名 日志 系统 系统日志包含系统组件记录的事件。例如，启动过程中加载驱动程序或其他系统组件失败会记录在系统日志中。系统组件记录的事件类型是预先确定的。 %%\\\Logs\.evtx 安全 安全日志包含有效和无效登录尝试等事件，以及与资源使用相关的事件，例如创建、打开或删除文件或其他对象。管理员可以指定在安全日志中记录哪些事件。例如，如果启用了登录审核，则登录系统尝试会记录在安全日志中。 %%\\\Logs\.evtx 应用程序 应用程序日志包含应用程序或程序记录的事件。例如，数据库程序可以在应用程序日志中记录文件错误。程序开发人员确定记录哪些事件。 %%\\\Logs\.evtx 转发事件日志用于存储从远程计算机收集的事件。要从远程计算机收集事件，您必须创建事件订阅。 %%\\\Logs\.evtx

您可以通过查看帮助手册获取进一步的日志信息：

日志通过事件id来标识发生的具体操作，可以通过微软查询具体id对应的操作：