العودة إلى الدورة

تسجيل السجلات الأساسي في Linux (Syslog)

احتراف الأمن السيبراني: من الصفر إلى الاحتراف

مراقبة نشاط Linux

في Linux، يتم التعامل مع آلية التسجيل القياسية غالباً بواسطة Syslog (أو النسخ الحديثة مثل rsyslog أو journald). تُخزن السجلات عادةً كملفات نصية بسيطة، مما يجعل قراءتها والتعامل معها سهلاً.

مواقع ملفات السجلات الرئيسية

توجد معظم السجلات في مجلد /var/log:

  • /var/log/auth.log (أو /var/log/secure في أنظمة Red Hat): حيوي لمراقبة محاولات مصادقة المستخدم، والوصول لجذر النظام (root)، واستخدام sudo.
  • /var/log/kern.log: رسائل النواة (Kernel)، ومعلومات الأجهزة.
  • /var/log/syslog (أو /var/log/messages): نشاط النظام العام.
  • /var/log/apache2/access.log: سجلات حركة مرور خادم الويب.

تحليل السجلات عبر سطر الأوامر (CLI)

نستخدم مهارات Bash لتحليل هذه الملفات بسرعة:

bash

عرض نهاية ملف سجل في الوقت الحقيقي (مفيد لمراقبة هجوم نشط)

tail -f /var/log/auth.log

البحث في السجلات عن مستخدم معين

grep "failed password" /var/log/auth.log