{"id":2311,"date":"2022-05-23T00:07:00","date_gmt":"2022-05-22T22:07:00","guid":{"rendered":"http:\/\/domotics.fr\/?p=2243"},"modified":"2023-11-19T12:03:07","modified_gmt":"2023-11-19T11:03:07","slug":"consulter-les-logs-de-son-serveur-quoi-ou-et-que-rechercher","status":"publish","type":"post","link":"https:\/\/domotics.fr\/index.php\/2022\/05\/23\/consulter-les-logs-de-son-serveur-quoi-ou-et-que-rechercher\/","title":{"rendered":"Consulter les logs de son serveur: quoi, o\u00f9 et que rechercher"},"content":{"rendered":"\n

Rechercher une indication dans les logs, voil\u00e0 un parcours qui n\u2019est pas \u00e9vident lorsque on d\u00e9bute l’administration serveur.
Ceux qui \u201csavent\u201d, pourraient donner des exemples de ce qui est fr\u00e9quent de rechercher, vers quel fichier de logs se tourner et \u201cquoi\u201d rechercher exactement.
Une indication d\u2019endroit dans le fichier serait un plus. Ex. :rechercher dans les derni\u00e8res lignes, ou selon la date inscrite.
Enfin, le maximum d\u2019info sera bon \u00e0 prendre.
Merci de votre participation, dans les commentaires\u00a0\":006\"<\/p>\n\n\n\n

Qui s\u2019est connect\u00e9 r\u00e9cemment<\/h1>\n\n\n\n

sudo grep Accepted \/var\/log\/auth.log<\/p>\n\n\n\n

Qui a tent\u00e9 de se connecter r\u00e9cemment<\/h1>\n\n\n\n

sudo grep Failed \/var\/log\/auth.log<\/p>\n\n\n\n

Permet de savoir combien de tentatives de connexions infructueuses ont eu lieu :<\/p>\n\n\n\n

# expr `zcat \/var\/log\/auth.log*gz | grep -c \"authentication failure\"` + ` cat \/var\/log\/auth.log* | grep -c \"authentication failure\"`\n\n<\/code><\/pre>\n\n\n\n
Groupe adm :<\/p>\n\n\n\n
La plupart des logs sont en droits 640, ce qui oblige \u00e0 se placer en tant que root (ou avec sudo) pour pouvoir les lire.
En mettant l\u2019utilisateur principal (le m\u00eame qui a les droits \u2018root\u2019, en g\u00e9n\u00e9ral), dans le groupe \u2018adm\u2019, vous permet de lire les logs en tant qu\u2019\u201cuser\u201d.[\/quote]<\/p>\n\n\n\n
adm : Le groupe adm est utilis\u00e9 pour les t\u00e2ches de surveillance du syst\u00e8me. Les membres de ce groupe peuvent lire de nombreux journaux d\u2019\u00e9v\u00e9nements dans \/var\/log et peuvent utiliser xconsole. Historiquement, \/var\/log \u00e9tait \/usr\/adm (et plus tard \/var\/adm) d\u2019o\u00f9 le nom du groupe.<\/p><\/blockquote>\n\n\n\n
Source : debian.org\/doc\/manuals\/secur \u2026 11.fr.html 23<\/a><\/p>\n\n\n\n
Il me semble qu\u2019il y a un outil a ne pas oublier quand on parle de log c\u2019est tail qui permet de n\u2019afficher que les derni\u00e8res lignes, et quand on l\u2019utilise comme \u00e7a :<\/p>\n\n\n\n
# tail -qF \/var\/log\/mail.log<\/code><\/pre>\n\n\n\n
Avant j\u2019utilisais un petit script perso cod\u00e9 avec mes propres pieds pour m\u2019envoyer les logs par email en mettant un flag WARNING dans le sujet du mail et tout et tout\u2026 Puis j\u2019ai d\u00e9couvert logcheck<\/strong> et me suis dit : \u00ab\u00a0Bordel il fait trop piti\u00e9 mon script \u00e0 cot\u00e9 de ce machin !\u00a0\u00bb<\/p>\n\n\n\n
<\/a> Cet article est une \u00e9bauche<\/strong>. N’h\u00e9sitez pas \u00e0 contribuer ou \u00e0 en discuter.<\/p>\n\n\n\n
\u00catre capable de chercher dans les logs peut se r\u00e9v\u00e9ler indispensable. Les journaux de log sont stock\u00e9s dans le r\u00e9pertoire \/var\/log\/ et sont consultables gr\u00e2ce aux commandes tail, grep et zgrep.<\/p>\n\n\n\n
Pour voir \u00ab\u00a0en direct\u00a0\u00bb des logs (tail -f)<\/strong><\/p>\n\n\n\n
# tail -f \/var\/log\/auth.log<\/em>\n<\/pre>\n\n\n\n
Avoir les 20 derni\u00e8res lignes d’un fichier log<\/strong><\/p>\n\n\n\n
# tail -n 20 \/var\/log\/messages<\/em>\n<\/pre>\n\n\n\n
Rechercher dans le texte facilement \u00ab\u00a0\u00e0 la vim\u00a0\u00bb – \u00ab\u00a0\/recherche\u00a0\u00bb avec less<\/strong><\/p>\n\n\n\n
# tail -n 20 \/var\/log\/messages |less<\/em>\n<\/pre>\n\n\n\n
Rechercher un paquet en particulier<\/strong><\/p>\n\n\n\n
# grep -R \"nom_du_paquet\" \/var\/log\/*<\/em>\n<\/pre>\n\n\n\n
Y compris dans les logs compress\u00e9s sous forme de fichiers .gz<\/strong><\/p>\n\n\n\n
# zgrep \"nom_du-paquet\" \/var\/log\/*<\/em>\n<\/pre>\n\n\n\n
Il est \u00e9galement possible de \u00ab\u00a0grepper\u00a0\u00bb une commande grep<\/strong><\/p>\n\n\n\n
# grep -r \"dpkg\" \/var\/log\/* | grep erreur<\/em>\n<\/pre>\n\n\n\n
Et avec une commande d’exclusion (grep -v => \u00c0 l’exclusion de)<\/strong><\/p>\n\n\n\n
# grep -r \"dpkg\" \/var\/log\/* | grep -v ejabberd<\/em>\n<\/pre>\n\n\n\n
Trouver dans quels fichiers de logs se trouve la chaine \u00ab\u00a0dpkg\u00a0\u00bb (-r recursive, -i insensible \u00e0 la \u00ab\u00a0casse\u00a0\u00bb, -l n’affiche pas tous les r\u00e9sultats, seulement le nom des fichiers)<\/strong><\/p>\n\n\n\n
# grep -r -i -l 'dpkg' \/var\/log\/<\/em>\n<\/pre>\n\n\n\n
Pour conserver le r\u00e9sultat des recherches dans un fichier (\/tmp\/ma_recherche_dpkg.log)<\/strong><\/p>\n\n\n\n
# grep -r -i -l 'dpkg' \/var\/log\/ > \/tmp\/ma_recherche_dpkg.log<\/em>\n<\/pre>\n\n\n\n
Avoir les 20 derni\u00e8res lignes d’une recherche avec grep<\/strong><\/p>\n\n\n\n
# grep -r \"dpkg\" \/var\/log\/* | tail -n 20<\/em>\n<\/pre>\n\n\n\n
Dans quels logs chercher ?<\/h1>\n\n\n\n
Emplacement<\/th>Contenu<\/th><\/tr>
\/var\/log\/alternatives.log<\/td>Les logs d’update-alternatives.<\/td><\/tr>
\/var\/log\/apache2\/*<\/td>Les logs du serveur http apache2.<\/td><\/tr>
\/var\/log\/apt\/*<\/td>Les logs d’apt. Tous les paquets install\u00e9s avec apt-get install, par exemple.<\/td><\/tr>
\/var\/log\/aptitude<\/td>Les logs d’aptitude. Contient toutes les actions demand\u00e9es, m\u00eame les abandonn\u00e9es.<\/td><\/tr>
\/var\/log\/auth.log<\/td>Les informations d’autorisation de syst\u00e8me. Y sont consign\u00e9es toutes les connexions (r\u00e9ussies ou pas) et la m\u00e9thode d’authentification utilis\u00e9e.<\/td><\/tr>
\/var\/log\/bind.log<\/td>Les logs du serveur de nom bind9, s’il sont activ\u00e9s.<\/td><\/tr>
\/var\/log\/boot.log<\/td>Les informations enregistr\u00e9es lors du d\u00e9marrage du syst\u00e8me. Ce fichier n’est pas activ\u00e9 par d\u00e9faut.<\/td><\/tr>
\/var\/log\/btmp<\/td>Semblable \u00e0 \/var\/log\/wtmp. Affiche les connexions\/d\u00e9connexions au syst\u00e8me # lastb alors que # last lira le fichier \/var\/log\/wtmp.<\/td><\/tr>
\/var\/log\/cups\/*<\/td>Les logs du syst\u00e8me d’impression cups.<\/td><\/tr>
\/var\/log\/cron<\/td>Les informations sur les t\u00e2ches cron. Enregistrement \u00e0 chaque fois que le d\u00e9mon cron (ou anacron) commence une t\u00e2che.<\/td><\/tr>
\/var\/log\/daemon.log<\/td>Les informations enregistr\u00e9es par les diff\u00e9rents daemons (processus) de fond qui fonctionnent sur le syst\u00e8me.<\/td><\/tr>
\/var\/log\/debug<\/td>Les logs de debugging.<\/td><\/tr>
\/var\/log\/dmesg<\/td>Les messages du noyau Linux depuis le d\u00e9marrage.<\/td><\/tr>
\/var\/log\/dpkg.log<\/td>Les informations sur les paquets install\u00e9s ou retir\u00e9s en utilisant la commande dpkg.<\/td><\/tr>
\/var\/log\/fail2ban.log<\/td>Les Ban\/Unban et infos sur le programme (Error, Info, etc.) si fail2ban est install\u00e9.<\/td><\/tr>
\/var\/log\/faillog<\/td>Les \u00e9checs de connexion. # faillog -u root.<\/td><\/tr>
\/var\/log\/kern.log<\/td>Les informations enregistr\u00e9es par le noyau. Utile pour d\u00e9bogguer un noyau personnalis\u00e9, par exemple.<\/td><\/tr>
\/var\/log\/lastlog<\/td>Les informations de connexion r\u00e9cente de tous les utilisateurs. Ce n’est pas un fichier ascii. Vous devez utiliser la commande lastlog pour afficher le contenu de ce fichier.<\/td><\/tr>
\/var\/log\/mail.*<\/td>Les informations du serveur de messagerie. Par exemple, sendmail enregistre des informations sur tous les \u00e9l\u00e9ments envoy\u00e9s dans ces fichiers.<\/td><\/tr>
\/var\/log\/messages<\/td>Les messages du syst\u00e8me, y compris les messages qui sont enregistr\u00e9s au d\u00e9marrage. Beaucoup de choses sont enregistr\u00e9es dans \/var\/log\/ messages y compris le courrier, cron, daemon, kern, auth, etc.<\/td><\/tr>
\/var\/log\/syslog<\/td>Tous les messages, hormis les connexions des utilisateurs. Plus complet que \/var\/log\/messages.<\/td><\/tr>
\/var\/log\/user.log<\/td>Les informations sur tous les journaux de niveau utilisateur.<\/td><\/tr>
\/var\/log\/wtmp<\/td>Toutes les connexions et d\u00e9connexions: last -f \/var\/log\/wtmp.<\/td><\/tr>
\/var\/log\/Xorg.x.log<\/td>Les messages du serveur X. N’existe pas sur un serveur.Le petit x est le N\u00b0 d’instance du serveur X.<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Pour faciliter la lecture<\/h1>\n\n\n\n
Coloration syntaxique des logs<\/strong><\/p>\n\n\n\n
# apt-get install ccze<\/em>\n<\/pre>\n\n\n\n
Utilisation :<\/p>\n\n\n\n
# tail -10 \/var\/log\/syslog | ccze -A<\/em>\n<\/pre>\n\n\n\n
Voir la page de ccze : Coloration syntaxique des logs: CCZE<\/a><\/p>\n\n\n\n
Pour afficher en couleur le nom de paquet recherch\u00e9 et aider \u00e0 la lecture des history.log.<\/strong><\/p>\n\n\n\n
# grep --color=always \"nom_du_paquet\" \/var\/log\/apt\/history.log<\/em>\n<\/pre>\n\n\n\n
Et un alias (alias grep=’grep –color=auto’) pour vous simplifier la vie :<\/p>\n\n\n\n
$ echo \"alias grep='grep --color=auto'\" >> ~\/.bashrc\n$ source ~\/.bashrc\n<\/pre>\n\n\n\n
Et pour cumuler le tout : recherche dans les history.log.X.gz avec coloration syntaxique et coloration du nom du paquet.<\/strong><\/p>\n\n\n\n
# zgrep --color=always  \"nom_du_paquet\" \/var\/log\/apt\/history* | ccze -A<\/em><\/pre>\n","protected":false},"excerpt":{"rendered":"
Rechercher une indication dans les logs, voil\u00e0 un parcours qui n\u2019est pas \u00e9vident lorsque on d\u00e9bute l’administration serveur.Ceux qui \u201csavent\u201d, pourraient donner des exemples de ce qui est fr\u00e9quent de rechercher, vers quel fichier de logs se tourner et \u201cquoi\u201d rechercher exactement.Une indication d\u2019endroit dans le fichier serait un plus. Ex. :rechercher dans les derni\u00e8res […]<\/p>\n","protected":false},"author":1,"featured_media":2303,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7,17,22],"tags":[],"class_list":["post-2311","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog","category-jeedom","category-nas","entry","has-media"],"_links":{"self":[{"href":"https:\/\/domotics.fr\/index.php\/wp-json\/wp\/v2\/posts\/2311","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/domotics.fr\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/domotics.fr\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/domotics.fr\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/domotics.fr\/index.php\/wp-json\/wp\/v2\/comments?post=2311"}],"version-history":[{"count":1,"href":"https:\/\/domotics.fr\/index.php\/wp-json\/wp\/v2\/posts\/2311\/revisions"}],"predecessor-version":[{"id":2479,"href":"https:\/\/domotics.fr\/index.php\/wp-json\/wp\/v2\/posts\/2311\/revisions\/2479"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/domotics.fr\/index.php\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/domotics.fr\/index.php\/wp-json\/wp\/v2\/media?parent=2311"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/domotics.fr\/index.php\/wp-json\/wp\/v2\/categories?post=2311"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/domotics.fr\/index.php\/wp-json\/wp\/v2\/tags?post=2311"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}