iT邦幫忙

2025 iThome 鐵人賽
DAY 7
0
自我挑戰組

日誌檢查學習自我挑戰系列 第 7

Day 7:網路連線與流量日誌

17th鐵人賽
20 瀏覽

  • 分享至 

  • xImage
    •  
  1. 系統層級網路事件
    檢查連線是否異常斷線、介面是否異常重啟:
    查看 kernel 與網卡有關的紀錄
    dmesg | grep -i eth
    查看網路事件
    journalctl -u NetworkManager
    journalctl -u network
    檢查是否有介面反覆 down/up、IP衝突、DHCP請求失敗、driver 錯誤訊息
  2. 防火牆 / iptables / firewalld
    查看防火牆日誌 (通常記錄在 /var/log/messages 或 /var/log/firewalld)
    grep -i "DROP" /var/log/messages
    grep -i "REJECT" /var/log/messages
    然後DROP跟REJECT這兩個其實都是防火牆(iptables / firewalld)在記錄封包被擋下時的訊息,不過 DROP 與 REJECT 行為上有差異:
    DROP
    行為:直接丟棄封包,不回應對方。
    結果:連線端會一直等,最後逾時。
    用途:
    隱藏主機存在,不給任何回應。
    常用於對付惡意掃描、暴力攻擊。
    REJECT
    行為:丟棄封包,但會回傳「拒絕」訊息給對方。
    結果:連線端立刻知道連不上,不需要等逾時。
    用途:
    用在內部網路(讓使用者馬上知道被禁止,而不是以為網路壞掉)。
    方便除錯
  3. Proxy 主機的存取紀錄
    Squid 的存取紀錄
    cat /var/log/squid/access.log | tail -n 20
    檢查是否有大量來自單一 IP的異常連線或是否有外部惡意網站請求
  4. DHCP 相關日誌
    在 /var/log/messages 或 /var/log/syslog:
    grep dhcpd /var/log/messages
    檢查是否有租約發放失敗 (no free leases)或是否有重複 IP 租約.
  5. DNS 伺服器日誌
    BIND (named) 常見在 /var/log/messages 或自定義的 /var/log/named/
    grep named /var/log/messages
    檢查是否有 DNS query flood、大量查詢不存在的網域、recursion 錯誤
  6. 網管系統日誌
    如果是 SNMP / SolarWinds / 其他監控
    檢查SNMP Trap是否正常寫入log及監控agent是否有斷線紀錄
    結論:
    在日誌檢查的工作裡,每天都要假設系統可能存在異常,因此必須持續檢視與比對各項紀錄。透過 grep、journalctl 等方式去過濾關鍵字(如 DROP、REJECT、ERROR 等),讓我們能即時發現潛在問題。

上一篇
Day 6:開機自動啟動的程式與服務
下一篇
DAY8: 日誌輪替(Log Rotation)
系列文
日誌檢查學習自我挑戰13
  1. 9
    DAY 9:使用 cron 排程自動化檢查。
  2. 10
    Day10:常用日誌排查流程
  3. 11
    Day 11:日誌的集中化管理
  4. 12
    Day 13:Rsyslog 伺服器配置與日誌篩選
  5. 13
    Day 14:從 Syslog 追蹤網路設備故障
完整目錄
圖片
  熱門推薦
圖片
{{ item.channelVendor }} | {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
iThome鐵人賽
參賽組數
902
團體組數
37
累計文章數
12686
完賽人數
110
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 17th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react
熱門問題
熱門回答
熱門文章
IT邦幫忙