Логи — это ценный инструмент для любого системного администратора или разработчика. Они позволяют отслеживать события, диагностировать ошибки и улучшать работу приложений. Правильное чтение логов помогает быстро выявлять и устранять проблемы, повышая надежность и безопасность систем. В этой статье мы подробно рассмотрим, где хранятся логи в операционных системах Windows и Linux, как их читать и использовать для оптимизации работы.
Что такое логи и зачем они нужны
Лог — это файл, в который система или приложение записывают информацию о событиях, происходящих во время их работы. Журнал сервера (server log) содержит записи о различных аспектах функционирования сервера: от успешных операций до критических ошибок.
Основные причины использовать логи:
- Диагностика ошибок. Быстрое обнаружение и устранение сбоев.
- Мониторинг безопасности. Отслеживание несанкционированного доступа и подозрительной активности.
- Анализ производительности. Оптимизация ресурсов и улучшение отклика системы.
- Аудит действий. Контроль изменений и действий пользователей.
Где хранятся логи в системах Windows и Linux
Windows
В Windows логи хранятся в «Просмотре событий». Это встроенная утилита, которая собирает и отображает системные и события приложения.
Как открыть «Просмотр событий»:
- Нажмите Win + R и введите eventvwr.msc, нажмите Enter.
- В открывшемся окне вы увидите разделы:
- Журналы Windows: включает в себя системные, приложенческие, установочные и другие логи.
- Журналы приложений и сервисов: специфические логи для отдельных приложений.
Где хранятся файлы логов. Логи Windows сохраняются в файлах с расширением .evtx и находятся по пути:
C:\Windows\System32\winevt\Logs\Linux
В Linux системные логи обычно находятся в каталоге /var/log/. Этот каталог содержит множество файлов логов для различных системных компонентов и приложений.
Основные файлы логов:
- /var/log/syslog или /var/log/messages: общесистемные сообщения.
- /var/log/auth.log: события аутентификации и безопасности.
- /var/log/kern.log: сообщения ядра системы.
- /var/log/dmesg: информация о загрузке системы и аппаратных компонентах.
- /var/log/apache2/: логи веб-сервера Apache.
Где хранятся логи Nginx
Чтение логов и их анализ
Windows
Использование «Просмотра событий»:
- В «Просмотре событий» выберите нужный журнал в левой панели.
- В центральной панели отобразятся события с деталями: дата и время, источник, уровень (информация, предупреждение, ошибка).
- Двойным щелчком по событию откройте подробную информацию.
Поиск и фильтрация:
- Используйте функцию «Фильтр текущего журнала» для отображения только необходимых событий.
- Можно фильтровать по ключевым словам, уровням и источникам событий.
Чтение логов в Linux
Командная строка. Просмотр последних строк лога:
tail -n 100 /var/log/syslogРеальное время обновления:
tail -f /var/log/syslogПоиск по ключевому слову:
grep "ошибка" /var/log/syslogИспользование специальных приложений:
less: удобный просмотр больших файлов.
less /var/log/sysloglogwatch: утилита для анализа и создания отчетов по логам.
logwatch --detail High --mailto admin@example.com --service all --range todayПримеры использования логов для решения проблем
Пример 1. Устранение ошибки приложения в Linux
Ситуация. Веб-приложение на сервере перестало отвечать.
Действия. Проверить лог веб-сервера:
tail -n 50 /var/log/apache2/error.log- Найти строки с ошибками и обратить внимание на время события.
Если ошибка связана с базой данных, проверить лог базы:
tail -n 50 /var/log/mysql/error.log- По полученной информации принять меры: перезапустить сервис, исправить конфигурацию или обратиться к разработчикам.
Пример 2. Обнаружение несанкционированного доступа в Windows
Ситуация. Подозрение на взлом учётной записи.
Действия:
- В «Просмотре событий» открыть «Журналы Windows» → Безопасность.
- Фильтровать события по ID 4625 (неудачная попытка входа).
- Проанализировать время и частоту попыток, IP-адреса.
- При необходимости изменить пароли, настроить политику блокировки и уведомить службу безопасности.
Особенности настройки журналов сервера
Настройка логирования в Linux с помощью syslog
syslog — это системный сервис для обработки и хранения логов.
Конфигурационный файл:
- /etc/rsyslog.conf: основной файл настроек rsyslog.
Настройка уровня логирования:
- Измените уровень логирования для определенных сервисов.
Например, чтобы записывать только ошибки:
*.err /var/log/errors.logУдалённое логирование. Настройте отправку логов на удаленный сервер для централизованного хранения.
*.* @logserver.example.com:514Настройка логирования в приложениях
- Уровни логирования: DEBUG, INFO, WARNING, ERROR, CRITICAL.
- Формат логов. Настройте формат записи для удобства чтения и анализа.
- Ротация логов. Используйте утилиты вроде logrotate для автоматического архивирования и удаления старых логов.
Инструменты для просмотра и анализа логов
Windows
- Event Log Explorer — расширенная замена стандартному «Просмотру событий», предоставляющая больше возможностей для поиска, фильтрации и анализа журналов Windows.
- Microsoft Log Parser — утилита для анализа логов с помощью SQL-подобных запросов, позволяющая быстро извлекать нужные данные из большого объёма журналов.
Linux
- GoAccess — интерактивный инструмент для анализа веб-логов в реальном времени, который отображает статистику по трафику, запросам и ошибкам прямо в терминале или веб-интерфейсе.
- Graylog и ELK Stack (Elasticsearch, Logstash, Kibana) — системы для централизованного сбора, хранения и визуализации логов, позволяющие анализировать события, отслеживать аномалии и повышать безопасность инфраструктуры.
- journald — системный журнал в дистрибутивах с systemd, сохраняющий структурированные логи и поддерживающий удобный поиск по параметрам.
Советы по эффективному использованию логов
- Регулярный мониторинг. Настройте оповещения при появлении критических ошибок.
- Автоматизация. Используйте скрипты и инструменты для автоматического анализа и отчётов.
- Безопасность. Ограничьте доступ к логам, так как они могут содержать конфиденциальную информацию.
- Оптимизация хранения. Следите за размером логов, чтобы избежать заполнения диска.
Заключение
Логи являются неотъемлемой частью системного администрирования и разработки. Понимание того, где хранятся логи и как их читать, позволяет эффективно решать проблемы, улучшать работу приложений и обеспечивать безопасность систем. Используйте предоставленную информацию и инструменты для углубленного анализа и оптимизации вашей инфраструктуры.
Читайте в блоге:
- Где хранятся логи Nginx
- Как установить и настроить веб-сервер Nginx на Ubuntu
- Шесть способов узнать версию Nginx
Если у Вас возникают какие-либо проблемы с системой, к примеру намертво зависает рабочий стол, либо перезагружается/выключается ПК, мы настоятельно рекомендуем не прибегать к кардинальной переустановке системы, а для начала посмотреть логи Windows, т.к журнал ошибок. Как это сделать? Рассмотрим в этой статье.
Данная инструкция актуальна для всех версий Windows, начиная от Windows 7 и более новые.
— Нажимаем горячие клавиши Win + R => Далее вводим в поле ввода eventvwr.msc
У Вас откроется окно, слева раскрываем дерево каталога — «Журналы Windows», к примеру в пункте «Приложение» у Вас откроется список всех открытий каких-либо программ на Вашем ПК, если была допущена ошибка при открытии, то она у Вас отобразится.
Вкладка «Безопасность», показывает аудит с информацией по доступу к Вашему ПК, т.е там будет указано, какой пользователь что-либо делал, и когда это было сделано.
Во вкладке «Установка» Вы можете посмотреть логи Windows, например обновления системы.
Вкладка «Система» является наиболее важной, с помощью этого журнала Вы можете определить многие ошибки возникающие в Windows, либо ошибки которые связаны с железом Вашего ПК. Например неисправность видеокарты по причине которой возникает синий экран (BSOD).
Как посмотреть логи Windows Server 2022. Журнал событий.
Операционная система Windows, системные службы и приложения записывают события и ошибки в системные журналы, чтобы в дальнейшем у системного администратора была возможность проверки операционной системы и диагностики проблем.
Получить доступ к этим записям можно через встроенное приложение Просмотр событий (Event Viewer). Есть несколько вариантов запуска данного приложения:
- через меню Пуск – Просмотр событий (Start – Event Viewer)
- в командной строке или в окне Выполнить набрать eventvwr.msc
- в Диспетчере серверов в разделе Средства выбрать Просмотр событий (Server Manager – Tools – Event Viewer). В диспетчер серверов можно зайти, через меню «Пуск»
Описание интерфейса программы
Окно программы состоит из следующих компонентов:
1. Панель навигации позволяет выбрать конкретный журнал, записи которого необходимо просмотреть;
2. Список событий, содержащийся в выбранном журнале. В колонках выведена базовая информация о событии. Их можно отсортировать по датам, типам, категориям событий и т.д.;
3. Детальная информация о выбранном во второй панели событии. Также детальную информацию можно открыть в отдельном окне, если кликнуть по нужному событию два раза;
4. Панель быстрых действий, которые можно совершить с данным журналом или событием. Действия также доступны в контекстном меню (клик правой кнопкой мыши по журналу или событию).
Для удобства просмотра и управления системные журналы разбиты по категориям:
- Приложения (Application) – как и гласит название, содержит события и ошибки приложений;
- Безопасность (Security) – если в операционной системе включена и настроена функция аудита, журнал будет содержать записи, связанные с отслеживанием соответствующих событий (например, авторизация пользователя или попытки неудачного входа в операционную систему);
- Система (System) – здесь регистрируются события операционной системы и системных сервисов;
- Установка (Setup) – события, связанные с инсталляцией обновлений Windows, дополнительных приложений.
В разделе Журналы приложений и служб (Applications and Services Logs) можно найти более детальную информацию о событиях отдельных служб и приложений, зарегистрированных в операционной системе, что бывает полезно при диагностике проблем в работе отдельных сервисов.
Сами события также разделяются на типы:
- Сведения (Information) — информируют о штатной работе приложений.
- Предупреждение (Warning) — событие, свидетельствующее о возможных проблемах в будущем (например, заканчивается свободное место на диске – приложения могут продолжать работу в штатном режиме, но когда место закончится совсем, работа будет невозможна).
- Ошибка (Error) — проблема, ведущая к деградации приложения или службы, потерям данных.
- Критическое (Critical) — значительная проблема, ведущая к неработоспособности приложения или службы.
- Аудит успеха (Success audit) — событие журнала Безопасность (Security), обозначающее успешно осуществленное действие, для которого включено отслеживание (например, успешный вход в систему).
- Аудит отказа (Failure audit) — событие журнала Безопасность (Security) обозначающее безуспешную попытку осуществить действие, для которого включено отслеживание (например, ошибка входа в систему).
Как узнать, кто перезагрузил (выключил) сервер Windows?
Информация об учетной записи, которая отправила команду перезагрузки Windows сохраняется в журнал событий.
- Откройте консоль Event Viewer и перейдите в раздел Windows Logs -> System;
2. Включите фильтр журнала событий в панели быстрых действий справа
3. В поле фильтра укажите EventID 1074 и нажмите OK;
4. В журнале событий останутся только события выключения (перезагрузки), откройте нужное событие
В событии от источника User32 будет указан пользователь, который инициировал перезагрузку Windows. В этом примере это пользователь Administrator.
В качестве пользователя, запустившего перезагрузку операционную систему может быть указан NT AUTHORITY\SYSTEM.
Это означает, что перезагрузку инициировала одна из служб или программ Windows, запущенная от имени SYSTEM.. Например, это может быть процесс службы wuauserv, который закончил установку обновлений Windows и выполнил перезагрузку согласно настроенной политике Windows Update или с помощью задания модуля PSWindowsUpdate.
The process C:\Windows\uus\AMD64\MoUsoCoreWorker.exe (WKS-PC11S22) has initiated the restart of computer WKS-PC11S22 on behalf of user NT AUTHORITY\SYSTEM for the following reason: Operating System: Service pack (Planned)
Reason Code: 0x80020010
Shutdown Type: restart
Comment:Если у Вас виртуальный сервер, и он был перезагружен из панели управления VMmanager6, то в журнале может быть следующая запись:
По событию 1074 можно найти только причины корректных (штатных) перезагрузок сервера. Если Windows была перезагружена не штатно (например, при потере электропитания, или появления BSOD), тогда нужно искать события с EventID 6008.
Просмотр журнала производительности Windows
В просмотре событий Windows можно найти достаточное количество интересных вещей, например — посмотреть на проблемы с производительностью компьютера. Для этого в левой панели откройте Журналы приложений и служб — Microsoft — Windows — Diagnostics-Perfomance — тут вы можете наблюдать, есть ли среди событий какие-либо ошибки — они сообщают о том, что какой-то компонент или программа привела к замедлению загрузки Windows. По двойному клику по событию, вы можете вызвать подробную информацию о нем.
Сегодня тема мониторинга IT – инфраструктуры и анализа логов набирает все большую и большую популярность. В первую очередь все задумываются о мониторинге событий безопасности, о чем и будет идти речь в данной статье. Несмотря на то, что на эту тему сказано и написано уже довольно много, вопросов возникает еще больше. И поэтому мы решили сделать перевод статьи «Сritical Log Review Checklist for Security Incidents», написанную Anton Chuvakin и Lenny Zeltser, которая будет полезна как для тех, кто только начинает работать с мониторингом событий безопасности, так и для тех, кто имеет с этим дело довольно давно, чтобы еще раз проверить себя, не упускаете ли вы некоторые возможности.
В этом чек-листе представлены действия, которые необходимы, если вы хотите мониторить логи систем безопасности и оперативно реагировать на инциденты безопасности, а также перечень возможных источников и событий, которые могут представлять интерес для анализа.
Общая схема действия
- Определите, какие источники журналов и автоматизированные инструменты можно использовать для анализа
- Скопируйте записи журнала в одно место, где вы сможете все их просмотреть и обработать
- Создайте правила определения того, что события являются необходимыми вам, чтобы в автоматическом режиме уменьшать «зашумленность» логов
- Определите, можно ли полагаться на метки времени журналов; рассмотрите различия часовых поясов
- Обратите внимание на последние изменения, сбои, ошибки, изменения состояния, доступ и другие события, необычные для вашей IT-среды
- Изучите историю событий, чтобы восстановить действия до и после инцидента
- Сопоставьте действия в разных журналах, чтобы получить полную картину
- Сформируйте гипотезу о том, что произошло; изучите журналы, чтобы подтвердить или опровергнуть её
Потенциальные источники логов безопасности
- Журналы операционной системы серверов и рабочих станций
- Журналы приложений (например, веб-сервер, сервер баз данных)
- Журналы инструментов безопасности (например, антивирус, инструменты обнаружения изменений, системы обнаружения/предотвращения вторжений)
- Исходящие журналы прокси-сервера и журналы приложений конечных пользователей
- Не забудьте также рассмотреть другие источники событий безопасности, не входящие в журналы.
Стандартное расположение логов
- Операционная система Linux и основные приложения: /var/log
- Операционная система Windows и основные приложения: Windows Event Log (Security, System, Application)
- Сетевые устройства: обычно регистрируются через syslog; некоторые используют собственное расположение и форматы
Что искать в логах Linux
| Событие | Пример записи в логах |
|---|---|
| Успешный вход | «Accepted password», «Accepted publickey», «session opened» |
| Неудачные попытки входа | «authentication failure», «failed password» |
| Завершение сессии | «session closed» |
| Изменение аккаунта | «password changed», «new user», «delete user» |
| Действия Sudo | «sudo:… COMMAND=…», «FAILED su» |
| Сбои в работе | «failed» или «failure» |
Что искать в логах Windows
Идентификаторы событий перечислены ниже для Windows 2008 R2 и 7, Windows 2012 R2 и 8.1, Windows 2016 и 10. (В оригинальной статье используются в основном идентификаторы для Windows 2003 и раньше, которые можно получить, отняв 4096 от значений указанных ниже EventID).
Большинство событий, приведенных ниже, находятся в журнале безопасности (Windows Event Log: Security), но некоторые регистрируются только на контроллере домена.
| Тип события | EventID |
|---|---|
| События входа и выхода | Successful logon 4624; failed logon 4625; logoff 4634, 4647 и т.д. |
| Изменение аккаунта | Created 4720; enabled 4726; changed 4738; disabled 4725; deleted 630 |
| Изменение пароля | 4724, 4723 |
| Запуск и прекращение работы сервисов | 7035,7036, и т.д. |
| Доступ к объектам | 4656, 4663 |
Что искать в логах сетевых устройств
Изучите входящие и исходящие действия ваших сетевых устройств.
Примеры ниже – это выдержки из логов Cisco ASA, но другие устройства имеют схожую функциональность.
| Трафик, допущенный файерволом | «Built… connection» «access-list… permitted» |
|---|---|
| Трафик, заблокированный файерволом | «access-list… denied», «deny Inbound»; «Deny …by» |
| Объем трафика (в байтах) | «Teardown TCP connection… duration… bytes…» |
| Использование каналов и протоколов | «limit… exceeded», «CPU utilization» |
| Обнаружение атаки | «attack from» |
| Изменение аккаунта | «user added», «user deleted», «User priv level changed» |
| Доступ администратора | «AAA user…», «User… locked out», «login failed» |
Что искать в логах веб-сервера
- Чрезмерные попытки доступа к несуществующим файлам
- Код (SQL, HTML), как часть URL-адреса
- Доступ к расширениям, которые вы не устанавливали
- Сообщения об остановке/запуске/сбое веб-службы
- Доступ к «рискованным» страницам, которые принимают пользовательский ввод данных
- Код ошибки 200 (успешный запрос) на файлах, которые не принадлежат вам
- Ошибка аутентификации: Код ошибки 401,403
- Неверный запрос: Код ошибки 400
- Внутренняя ошибка сервера: Код ошибки 500
Полезные ссылки
Примеры событий Windows по каждому EventID:
EventID.Net
Справочник событий журнала безопасности Windows:
Windows Security Log Encyclopedia
Список инструментов анализа журналов:
Best Log Management Tools
Другие «шпаргалки», связанные с реагированием на инциденты безопасности в блоге одного из авторов оригинальной статьи:
IT and Information Security Cheat Sheets
Если вам интересна эта тема, то пишите комментарии, мы будем рады вам ответить. Подписывайтесь в нашу группу VK и канал Telegram, если хотите быть в курсе новых статей.
Introduction
The Windows event log is an itemized record of the framework, security, and application notices the Windows working framework chairpersons put away to analyze framework issues and anticipate future problems.
Applications and the operating system (OS) utilize these event logs to record significant equipment and programming activities that the manager can use to investigate issues with the operational system. The Windows operating system tracks explicit events in its log documents, like application establishments, security of the executives, framework arrangement procedure on beginning startup, and issues or blunders.
Where are Windows logs stored?
If your installation is on a C drive, the location of the Windows event logs is C: WindowsSystem32winevtLogs. Event log files have the extension .evtx.When a Windows application crashes, the event log stores information about the application name, why the application crashed, and the incident time.
Below is presented Windows 11 log location from 2022:
What is the EVTX file?
EVTX file represents Microsoft Event Viewer logs that users can see in Event Viewer. You can run Microsoft Event Viewer logs using the Windo” “>eventvwr co” m”d. m”c”
The “o”ponents of a Windows event log
Every Event in a log passage contains the accompanying data:
Date: The date the Event happened.
Time: The time the Event occurred.
Client: The client was signed onto the machine when the Event occurred.
PC: The name of the PC.
Occasion ID: A Windows ID number that determines the event type.
Source: The program or part that caused the Event. Type: The sort of Event, including data, cautioning, mistake, security achievement review, or security disappointment review.
For instance, a data event may show up as:
Data 3/19/2021 8:21:15 AM Service Kernel-Event Tracing 1 Logging
An admonition event may resemble:
Cautioning 3/19/2021 10:29:47 AM
By examination, a mistake event may show up as:
Mistake 3/19/2021 AM Service Control Manager 7001 None
A primary event may look like this:
Basic 3/19/2021 8:55:02 AM Kernel-Power 41 (63)
The sort of data put away in Windows event logs
The Windows working framework records events in five zones: application, security, arrangement, framework, and sent events—Windows stores event signs in the C:\WINDOWS\system32\config\ envelope.
Application events are occurrences with the product introduced on the neighborhood PC. If an application, such as Microsoft Word, crashes, the Windows event log will create a section about the issue, the application name, and why it was slammed.
Security events store data depending on the framework, and the ordinary events stored incorporate login endeavors and asset access. For instance, the security log stores a record of the PC checking account certifications when a client attempts to sign on to a machine.
Arrangement events incorporate centered events identifying with the control of spaces, like the area of logs after a plate setup.
Framework events identify with episodes on Windows-explicit frameworks, like the situation with gadget drivers.
Sent events appear from different machines in a similar organization when a chairperson needs to utilize a PC that accumulates numerous logs.
Utilizing the Event Viewer
Microsoft remembers the Event Viewer for its Windows Server and customer working framework to see Windows event logs. Clients access the Event Viewer by tapping the Start catch and entering the Event Viewer into the hunt field. Clients can then choose and investigate the ideal log.
How to open Event Viewer in Windows?
- Press Sta”t” butt”n”
- Click” “Contr” l”Pan” S” s” and Securi” A” m” “s” rating Too”s.”
- Doub “e”clic” “Event “V”ew”r”
Window” orders each Event with severity based on data, caution, blunders, and the basics.
Most logs comprise data-based events. Logs with this section typically mean the experience happened without an episode or issue. An illustration of a framework-based data event is Event 42, Kernel-Power, which shows the framework is entering rest mode.
Cautioning level events depend on specific events, for example, an absence of extra room. Cautioning messages can focus on potential issues that don’t prompt activity. Occasion 51, Disk illustrates a framework-based admonition identified with a paging mistake on the thmachine’machine’sAsA blunder level demonstrates a gadget may have neglected to stack or work expectedly. Occasion 5719, NETLOGON illustrates a framework mistake whenn’t a safe meeting with an area regulator.
Basic-level events show the most severe issues. Occasion ID 41, Kernel-Power, illustrates a basic framework when a machine reboots without a spotless closure.
Different devices to see Windows event logs.
Microsoft likewise gives the order line utility in the System32 organizer that recovers event logs, runs questions, sends out logs, files logs, and clears logs.
Outsider utilities that work with Windows event logs incorporate SolarWinds Log and Event Manager, providing event connection and remediation, record trustworthiness observation, USB gadget checking, and danger location. Log and Event Manager gathers logs from workers, applications, and organization gadgets.
ManageEngine EventLog Analyzer fabricates custom reports from log information and sends constant instant messages and email alarms dependent on explicit events.
Utilizing PowerShell to question events
Microsoft fabricates Windows event signs in an extensible markup language (XML) design with an EVTX augmentation. XML gives more granular data and a reliable organization for organized information.
Directors can construct convoluted XML inquiries with the Get-WinEvent PowerShell cmdlet to add or reject events from a question. With issues related to corrupted event logs, we recommend you first try a software cleanup of your Windows event log. These software tools, such as ReconLogger or Software Events Cleaner, automatically clean Windows event logs to eliminate all the junk, such as unused files, configuration files, and garbage. Alternatively, try System Reliability; search and filter it by date range and service to find specific issues. The graphs in the Window Event Viewer can help detect subtle behavior changes in your system.
- About
- Latest Posts